Zscaler 터널 로그 수집
다음에서 지원:
Google SecOps
SIEM
이 문서에서는 Google Security Operations 피드를 설정하여 Zscaler Tunnel 로그를 내보내는 방법과 로그 필드가 Google SecOps 통합 데이터 모델 (UDM) 필드에 매핑되는 방식을 설명합니다.
자세한 내용은 Google SecOps에 데이터 수집 개요를 참고하세요.
일반적인 배포는 Google SecOps에 로그를 전송하도록 구성된 Zscaler Tunnel 및 Google SecOps Webhook 피드로 구성됩니다. 고객 배포마다 다를 수 있으며 더 복잡할 수도 있습니다.
배포에는 다음 구성요소가 포함됩니다.
Zscaler Tunnel: 로그를 수집하는 플랫폼입니다.
Google SecOps 피드: Zscaler Tunnel에서 로그를 가져오고 로그를 Google SecOps에 작성하는 Google SecOps 피드입니다.
Google SecOps: 로그를 보관하고 분석합니다.
수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 ZSCALER_TUNNEL 라벨이 있는 파서에 적용됩니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Zscaler Internet Access 콘솔에 대한 액세스 권한이 있어야 합니다. 자세한 내용은 보안 인터넷 및 SaaS 액세스 ZIA 도움말을 참고하세요.
- Zscaler Tunnel 버전 1.0 또는 버전 2.0
- 배포 아키텍처의 모든 시스템은 UTC 시간대로 구성됩니다.
- Google Security Operations에서 피드 설정을 완료하는 데 필요한 API 키입니다. 자세한 내용은 API 키 설정을 참고하세요.
피드 설정
이 로그 유형을 구성하려면 다음 단계를 따르세요.
- SIEM 설정> 피드로 이동합니다.
- 새 피드 추가를 클릭합니다.
- Zscaler 피드 팩을 클릭합니다.
- 필요한 로그 유형을 찾아 새 피드 추가를 클릭합니다.
다음 입력 매개변수의 값을 입력합니다.
- 소스 유형: 웹훅 (권장)
- 분할 구분 기호: 로그 줄을 구분하는 데 사용되는 문자입니다. 구분 기호를 사용하지 않는 경우 비워 둡니다.
고급 옵션
- 피드 이름: 피드를 식별하는 미리 채워진 값입니다.
- 애셋 네임스페이스: 피드와 연결된 네임스페이스입니다.
- 수집 라벨: 이 피드의 모든 이벤트에 적용되는 라벨입니다.
피드 만들기를 클릭합니다.
이 제품군 내에서 다양한 로그 유형에 대해 여러 피드를 구성하는 방법에 관한 자세한 내용은 제품별 피드 구성을 참고하세요.
Zscaler 터널 설정
- Zscaler Internet Access 콘솔에서 Administration > Nanolog Streaming Service > Cloud NSS Feeds로 이동합니다.
- Add Cloud NSS Feed(클라우드 NSS 피드 추가)를 클릭합니다.
- 피드 이름 필드에 피드 이름을 입력합니다.
- NSS Type에서 NSS for Tunnel을 선택합니다.
- 상태 목록에서 상태를 선택하여 NSS 피드를 활성화하거나 비활성화합니다.
- SIEM 비율 드롭다운의 값을 무제한으로 유지합니다. 라이선스 또는 기타 제약 조건으로 인해 출력 스트림을 억제하려면 값을 변경합니다.
- SIEM 유형 목록에서 기타를 선택합니다.
- OAuth 2.0 인증 목록에서 사용 중지됨을 선택합니다.
- 최대 배치 크기에 SIEM의 권장사항에 따른 개별 HTTP 요청 페이로드의 크기 제한을 입력합니다 (예: 512KB).
다음 형식으로 Chronicle API 엔드포인트의 HTTPS URL을 API URL에 입력합니다.
https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogsCHRONICLE_REGION: Google SecOps 인스턴스가 호스팅되는 리전입니다 (예: US).GOOGLE_PROJECT_NUMBER: BYOP 프로젝트 번호입니다 (C4에서 가져옴).LOCATION: Google SecOps 리전 (예: US)CUSTOMER_ID: Google SecOps 고객 ID (C4에서 가져옴)FEED_ID: 새로 생성된 웹훅의 피드 UI에 표시되는 피드 ID입니다.
샘플 API URL:
https://us-chronicle.googleapis.com/v1alpha/projects/12345678910/locations/US/instances/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/feeds/yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy:importPushLogsHTTP 헤더 추가를 클릭한 다음 다음 형식으로 HTTP 헤더를 추가합니다.
Header 1: Key1:X-goog-api-key및 Value1: Google Cloud BYOP의 API 사용자 인증 정보에서 생성된 API 키Header 2: Key2:X-Webhook-Access-Key및 Value2: 웹훅의 'SECRET KEY'에서 생성된 API 보안 키입니다.
로그 유형 목록에서 터널을 선택합니다.
피드 출력 유형 목록에서 JSON을 선택합니다.
피드 이스케이프 문자를
, \ "로 설정합니다.피드 출력 형식에 새 필드를 추가하려면 피드 출력 유형 목록에서 맞춤을 선택합니다.
피드 출력 형식을 복사하여 붙여넣고 새 필드를 추가합니다. 키 이름이 실제 필드 이름과 일치하는지 확인합니다.
다음은 기본 피드 출력 형식입니다.
IKE 1단계의 경우:
\{ "sourcetype" : "zscalernss-tunnel", "event" : \{"datetime":"%s{datetime}","Recordtype":"%s{tunnelactionname}","tunneltype":"IPSEC IKEV %d{ikeversion}","user":"%s{vpncredentialname}","location":"%s{elocationname}","sourceip":"%s{sourceip}","destinationip":"%s{destvip}","sourceport":"%d{srcport}","destinationport":"%d{dstport}","lifetime":"%d{lifetime}","ikeversion":"%d{ikeversion}","spi_in":"%lu{spi_in}","spi_out":"%lu{spi_out}","algo":"%s{algo}","authentication":"%s{authentication}","authtype":"%s{authtype}","recordid":"%d{recordid}"\}\}IKE 2단계:
\{ "sourcetype" : "zscalernss-tunnel", "event" : \{"datetime":"%s{datetime}","Recordtype":"%s{tunnelactionname}","tunneltype":"IPSEC IKEV %d{ikeversion}","user":"%s{vpncredentialname}","location":"%s{elocationname}","sourceip":"%s{sourceip}","destinationip":"%s{destvip}","sourceport":"%d{srcport}","sourceportstart":"%d{srcportstart}","destinationportstart":"%d{destportstart}","srcipstart":"%s{srcipstart}","srcipend":"%s{srcipend}","destinationipstart":"%s{destipstart}","destinationipend":"%s{destipend}","lifetime":"%d{lifetime}","ikeversion":"%d{ikeversion}","lifebytes":"%d{lifebytes}","spi":"%d{spi}","algo":"%s{algo}","authentication":"%s{authentication}","authtype":"%s{authtype}","protocol":"%s{protocol}","tunnelprotocol":"%s{tunnelprotocol}","policydirection":"%s{policydirection}","recordid":"%d{recordid}"\}\}터널 이벤트의 경우:
\{ "sourcetype" : "zscalernss-tunnel", "event" : \{"datetime":"%s{datetime}","Recordtype":"%s{tunnelactionname}","tunneltype":"%s{tunneltype}","user":"%s{vpncredentialname}","location":"%s{elocationname}","sourceip":"%s{sourceip}","destinationip":"%s{destvip}","sourceport":"%d{srcport}","event":"%s{event}","eventreason":"%s{eventreason}","recordid":"%d{recordid}"\}\}샘플:
\{ "sourcetype" : "zscalernss-tunnel", "event" : \{"datetime":"%s{datetime}","Recordtype":"%s{tunnelactionname}","tunneltype":"%s{tunneltype}","user":"%s{vpncredentialname}","location":"%s{elocationname}","sourceip":"%s{sourceip}","destinationip":"%s{destvip}","sourceport":"%d{srcport}","txbytes":"%lu{txbytes}","rxbytes":"%lu{rxbytes}","dpdrec":"%d{dpdrec}","recordid":"%d{recordid}"\}\}
시간대 목록에서 출력 파일의 시간 필드에 사용할 시간대를 선택합니다. 기본적으로 시간대는 조직의 시간대로 설정됩니다.
구성된 설정을 검토합니다.
저장을 클릭하여 연결을 테스트합니다. 연결에 성공하면 연결 테스트 성공: OK (200)이라는 메시지와 함께 녹색 체크표시가 표시됩니다.
Google SecOps 피드에 대한 자세한 내용은 Google SecOps 피드 문서를 참고하세요. 각 피드 유형의 요구사항은 유형별 피드 구성을 참조하세요.
피드를 만들 때 문제가 발생하면 Google SecOps 지원팀에 문의하세요.
지원되는 Zscaler Tunnel 로그 형식
Zscaler Tunnel 파서는 JSON 형식의 로그를 지원합니다.
지원되는 Zscaler 터널 샘플 로그
JSON
{ "sourcetype": "zscalernss-tunnel", "event": { "datetime": "Sun Jan 21 06:17:00 2024", "Recordtype": "Tunnel Samples", "tunneltype": "IPSec IKEv2", "user": "dummy-user@dummydomain.net", "location": "PLWSE06", "sourceip": "198.51.100.0", "destinationip": "198.51.100.1", "sourceport": "0", "txbytes": "12560", "rxbytes": "0", "dpdrec": "0", "recordid": "7326416289073594372" } }
UDM 매핑 테이블
필드 매핑 참조: ZSCALER_TUNNEL
다음 표에는 ZSCALER_TUNNEL 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.
| Log field | UDM mapping | Logic |
|---|---|---|
algo |
additional.fields[algo] |
|
authtype |
additional.fields[authtype] |
|
authentication |
additional.fields[authentication] |
|
dd |
additional.fields[dd] |
|
day |
additional.fields[day] |
|
destinationportstart |
additional.fields[destinationportstart] |
|
dpdrec |
additional.fields[dpdrec] |
|
eventreason |
additional.fields[eventreason] |
|
hh |
additional.fields[hh] |
|
ikeversion |
additional.fields[ikeversion] |
|
lifebytes |
additional.fields[lifebytes] |
|
mm |
additional.fields[mm] |
|
mon |
additional.fields[mon] |
|
mth |
additional.fields[mth] |
|
olocationname |
additional.fields[olocationname] |
|
ovpncredentialname |
additional.fields[ovpncredentialname] |
|
ss |
additional.fields[ss] |
|
sourcetype |
additional.fields[sourcetype] |
|
spi_in |
additional.fields[spi_in] |
|
spi_out |
additional.fields[spi_out] |
|
sourceportstart |
additional.fields[sourceportstart] |
|
tz |
additional.fields[tz] |
|
tunnelprotocol |
additional.fields[tunnelprotocol] |
|
tunneltype |
additional.fields[tunneltype] |
|
vendorname |
additional.fields[vendorname] |
|
yyyy |
additional.fields[yyyy] |
|
spi |
additional.fields[spi] |
|
event |
metadata.description |
|
datetime |
metadata.event_timestamp |
|
|
metadata.event_type |
If (the srcipstart log field value is not empty or the srcipend log field value is not empty or the sourceip log field value is not empty) and (the destinationipstart log field value is not empty or the destinationip log field value is not empty or the destinationipend log field value is not empty), then the metadata.event_type UDM field is set to NETWORK_CONNECTION.Else, if the srcipstart log field value is not empty or the srcipend log field value is not empty or the sourceip log field value is not empty, then the metadata.event_type UDM field is set to STATUS_UPDATE.Else, the metadata.event_type UDM field is set to GENERIC_EVENT. |
Recordtype |
metadata.product_event_type |
|
recordid |
metadata.product_log_id |
|
|
metadata.product_name |
The metadata.product_name UDM field is set to ZSCALER_TUNNEL. |
|
metadata.vendor_name |
The metadata.vendor_name UDM field is set to ZSCALER. |
|
network.direction |
If the policydirection log field value matches the regular expression pattern (?i)Inbound, then the network.direction UDM field is set to INBOUND.Else, if the policydirection log field value matches the regular expression pattern (?i)Outbound, then the network.direction UDM field is set to OUTBOUND. |
protocol |
network.ip_protocol |
If the protocol log field value contain one of the following values, then the protocol log field is mapped to the network.ip_protocol UDM field.
|
rxbytes |
network.received_bytes |
|
rxpackets |
network.received_packets |
|
txbytes |
network.sent_bytes |
|
txpackets |
network.sent_packets |
|
lifetime |
network.session_duration.seconds |
|
srcipstart |
principal.ip |
|
sourceip |
principal.ip |
|
srcipend |
principal.ip |
|
location |
principal.location.name |
|
sourceport |
principal.port |
|
user |
principal.user.userid |
|
destinationipstart |
target.ip |
|
destinationip |
target.ip |
|
destinationipend' |
target.ip |
|
destinationport |
target.port |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.