Esta página foi traduzida pela API Cloud Translation.

Recolha registos de túneis do Zscaler

Compatível com:

Google secops SIEM

Este documento explica como exportar registos de túneis do Zscaler configurando um feed do Google Security Operations e como os campos de registo são mapeados para os campos do modelo de dados unificado (UDM) do Google SecOps.

Para mais informações, consulte o artigo Vista geral da ingestão de dados no Google SecOps.

Uma implementação típica consiste no túnel do Zscaler e no feed do webhook do Google SecOps configurado para enviar registos para o Google SecOps. Cada implementação do cliente pode ser diferente e mais complexa.

A implementação contém os seguintes componentes:

Zscaler Tunnel: a plataforma a partir da qual recolhe registos.
Feed do Google SecOps: o feed do Google SecOps que obtém registos do túnel do Zscaler e escreve registos no Google SecOps.
Google SecOps: retém e analisa os registos.

Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador com a etiqueta ZSCALER_TUNNEL.

Antes de começar

Certifique-se de que cumpre os seguintes pré-requisitos:

Acesso à consola do Zscaler Internet Access. Para mais informações, consulte o artigo Acesso seguro à Internet e ao SaaS: ajuda do ZIA.
Zscaler Tunnel versão 1.0 ou versão 2.0
Todos os sistemas na arquitetura de implementação estão configurados com o fuso horário UTC.
A chave da API necessária para concluir a configuração do feed no Google Security Operations. Para mais informações, consulte o artigo Configurar chaves de API.

Configure feeds

Para configurar este tipo de registo, siga estes passos:

Aceda a Definições do SIEM > Feeds.
Clique em Adicionar novo feed.
Clique no pacote de feeds Zscaler.
Localize o tipo de registo necessário e clique em Adicionar novo feed.
Introduza valores para os seguintes parâmetros de entrada:
- Tipo de origem: webhook (recomendado)
- Delimitador de divisão: o caráter usado para separar linhas de registos. Deixe em branco se não for usado nenhum delimitador.
Opções avançadas
- Nome do feed: um valor pré-preenchido que identifica o feed.
- Espaço de nomes do recurso: espaço de nomes associado ao feed.
- Etiquetas de carregamento: etiquetas aplicadas a todos os eventos deste feed.
Clique em Criar feed.

Para mais informações sobre a configuração de vários feeds para diferentes tipos de registos nesta família de produtos, consulte o artigo Configure feeds por produto.

Configure o túnel do Zscaler

Na consola do Zscaler Internet Access, aceda a Administração > Serviço de streaming de nanologs > Feeds de NSS na nuvem.
Clique em Adicionar feed NSS da nuvem.
Introduza um nome para o feed no campo Nome do feed.
Selecione NSS for Tunnel em NSS Type.
Selecione o estado na lista Estado para ativar ou desativar o feed NSS.
Mantenha o valor no menu pendente Taxa de SIEM como Ilimitado. Para suprimir o fluxo de saída devido a licenciamento ou outras restrições, altere o valor.
Selecione Outro na lista Tipo de SIEM.
Selecione Desativado na lista Autenticação OAuth 2.0.
Introduza um limite de tamanho para uma carga útil de pedido HTTP individual para a prática recomendada do SIEM em Tamanho máximo do lote (por exemplo, 512 KB).
Introduza o URL HTTPS do ponto final da API Chronicle no URL da API no seguinte formato:
```
https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs
```
- CHRONICLE_REGION: região onde a sua instância do Google SecOps está alojada (por exemplo, US).
- GOOGLE_PROJECT_NUMBER: número do projeto BYOP (obtenha-o no C4).
- LOCATION: região do Google SecOps (por exemplo, US).
- CUSTOMER_ID: ID de cliente do Google SecOps (obtenha-o no C4).
- FEED_ID: ID do feed apresentado na IU do feed no novo webhook criado.
URL da API de exemplo:
```
https://us-chronicle.googleapis.com/v1alpha/projects/12345678910/locations/US/instances/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/feeds/yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy:importPushLogs
```
Clique em Adicionar cabeçalho HTTP e, de seguida, adicione cabeçalhos HTTP no seguinte formato:
- Header 1: Key1: X-goog-api-key e Value1: chave da API gerada nas credenciais da API do Google Cloud BYOP.
- Header 2: Key2: X-Webhook-Access-Key e Value2: chave secreta da API gerada na "CHAVE SECRETA" do webhook.
Selecione Túnel na lista Tipos de registos.
Selecione JSON na lista Tipo de saída do feed.
Defina o caráter de escape do feed como , \ ".
Para adicionar um novo campo ao formato de saída do feed,selecione Personalizado na lista Tipo de saída do feed.

Copie e cole o Formato de saída do feed e adicione novos campos. Certifique-se de que os nomes das chaves correspondem aos nomes dos campos reais.

Seguem-se os formatos de saída do feed predefinidos:

Para a fase 1 do IKE:

\{ "sourcetype" : "zscalernss-tunnel", "event" : \{"datetime":"%s{datetime}","Recordtype":"%s{tunnelactionname}","tunneltype":"IPSEC IKEV %d{ikeversion}","user":"%s{vpncredentialname}","location":"%s{elocationname}","sourceip":"%s{sourceip}","destinationip":"%s{destvip}","sourceport":"%d{srcport}","destinationport":"%d{dstport}","lifetime":"%d{lifetime}","ikeversion":"%d{ikeversion}","spi_in":"%lu{spi_in}","spi_out":"%lu{spi_out}","algo":"%s{algo}","authentication":"%s{authentication}","authtype":"%s{authtype}","recordid":"%d{recordid}"\}\}

Para a fase 2 do IKE:

\{ "sourcetype" : "zscalernss-tunnel", "event" : \{"datetime":"%s{datetime}","Recordtype":"%s{tunnelactionname}","tunneltype":"IPSEC IKEV %d{ikeversion}","user":"%s{vpncredentialname}","location":"%s{elocationname}","sourceip":"%s{sourceip}","destinationip":"%s{destvip}","sourceport":"%d{srcport}","sourceportstart":"%d{srcportstart}","destinationportstart":"%d{destportstart}","srcipstart":"%s{srcipstart}","srcipend":"%s{srcipend}","destinationipstart":"%s{destipstart}","destinationipend":"%s{destipend}","lifetime":"%d{lifetime}","ikeversion":"%d{ikeversion}","lifebytes":"%d{lifebytes}","spi":"%d{spi}","algo":"%s{algo}","authentication":"%s{authentication}","authtype":"%s{authtype}","protocol":"%s{protocol}","tunnelprotocol":"%s{tunnelprotocol}","policydirection":"%s{policydirection}","recordid":"%d{recordid}"\}\}

Para o evento de túnel:

\{ "sourcetype" : "zscalernss-tunnel", "event" : \{"datetime":"%s{datetime}","Recordtype":"%s{tunnelactionname}","tunneltype":"%s{tunneltype}","user":"%s{vpncredentialname}","location":"%s{elocationname}","sourceip":"%s{sourceip}","destinationip":"%s{destvip}","sourceport":"%d{srcport}","event":"%s{event}","eventreason":"%s{eventreason}","recordid":"%d{recordid}"\}\}

Para o exemplo:

\{ "sourcetype" : "zscalernss-tunnel", "event" : \{"datetime":"%s{datetime}","Recordtype":"%s{tunnelactionname}","tunneltype":"%s{tunneltype}","user":"%s{vpncredentialname}","location":"%s{elocationname}","sourceip":"%s{sourceip}","destinationip":"%s{destvip}","sourceport":"%d{srcport}","txbytes":"%lu{txbytes}","rxbytes":"%lu{rxbytes}","dpdrec":"%d{dpdrec}","recordid":"%d{recordid}"\}\}

Selecione o fuso horário para o campo Hora no ficheiro de saída na lista Fuso horário. Por predefinição, o fuso horário é definido como o fuso horário da sua organização.
Reveja as definições configuradas.
Clique em Guardar para testar a conetividade. Se a ligação for bem-sucedida, é apresentada uma marca de verificação verde acompanhada da mensagem Test Connectivity Successful: OK (200).

Para mais informações sobre os feeds do Google SecOps, consulte a documentação dos feeds do Google SecOps. Para obter informações sobre os requisitos de cada tipo de feed, consulte o artigo Configuração do feed por tipo.

Se tiver problemas ao criar feeds, contacte o apoio técnico da Google SecOps.

Formatos de registos de túneis do Zscaler suportados

O analisador do túnel Zscaler suporta registos no formato JSON.

Registos de exemplo do túnel Zscaler suportados

JSON

{
  "sourcetype": "zscalernss-tunnel",
  "event": {
    "datetime": "Sun Jan 21 06:17:00 2024",
    "Recordtype": "Tunnel Samples",
    "tunneltype": "IPSec IKEv2",
    "user": "dummy-user@dummydomain.net",
    "location": "PLWSE06",
    "sourceip": "198.51.100.0",
    "destinationip": "198.51.100.1",
    "sourceport": "0",
    "txbytes": "12560",
    "rxbytes": "0",
    "dpdrec": "0",
    "recordid": "7326416289073594372"
  }
}

Tabela de mapeamento da UDM

Referência de mapeamento de campos: ZSCALER_TUNNEL

A tabela seguinte apresenta os campos de registo do ZSCALER_TUNNEL tipo de registo e os respetivos campos UDM.

Log field	UDM mapping	Logic
`algo`	`additional.fields[algo]`
`authtype`	`additional.fields[authtype]`
`authentication`	`additional.fields[authentication]`
`dd`	`additional.fields[dd]`
`day`	`additional.fields[day]`
`destinationportstart`	`additional.fields[destinationportstart]`
`dpdrec`	`additional.fields[dpdrec]`
`eventreason`	`additional.fields[eventreason]`
`hh`	`additional.fields[hh]`
`ikeversion`	`additional.fields[ikeversion]`
`lifebytes`	`additional.fields[lifebytes]`
`mm`	`additional.fields[mm]`
`mon`	`additional.fields[mon]`
`mth`	`additional.fields[mth]`
`olocationname`	`additional.fields[olocationname]`
`ovpncredentialname`	`additional.fields[ovpncredentialname]`
`ss`	`additional.fields[ss]`
`sourcetype`	`additional.fields[sourcetype]`
`spi_in`	`additional.fields[spi_in]`
`spi_out`	`additional.fields[spi_out]`
`sourceportstart`	`additional.fields[sourceportstart]`
`tz`	`additional.fields[tz]`
`tunnelprotocol`	`additional.fields[tunnelprotocol]`
`tunneltype`	`additional.fields[tunneltype]`
`vendorname`	`additional.fields[vendorname]`
`yyyy`	`additional.fields[yyyy]`
`spi`	`additional.fields[spi]`
`event`	`metadata.description`
`datetime`	`metadata.event_timestamp`
	`metadata.event_type`	If (the `srcipstart` log field value is not empty or the `srcipend` log field value is not empty or the `sourceip` log field value is not empty) and (the `destinationipstart` log field value is not empty or the `destinationip` log field value is not empty or the `destinationipend` log field value is not empty), then the `metadata.event_type` UDM field is set to `NETWORK_CONNECTION`. Else, if the `srcipstart` log field value is not empty or the `srcipend` log field value is not empty or the `sourceip` log field value is not empty, then the `metadata.event_type` UDM field is set to `STATUS_UPDATE`. Else, the `metadata.event_type` UDM field is set to `GENERIC_EVENT`.
`Recordtype`	`metadata.product_event_type`
`recordid`	`metadata.product_log_id`
	`metadata.product_name`	The `metadata.product_name` UDM field is set to `ZSCALER_TUNNEL`.
	`metadata.vendor_name`	The `metadata.vendor_name` UDM field is set to `ZSCALER`.
	`network.direction`	If the `policydirection` log field value matches the regular expression pattern `(?i)Inbound`, then the `network.direction` UDM field is set to `INBOUND`. Else, if the `policydirection` log field value matches the regular expression pattern `(?i)Outbound`, then the `network.direction` UDM field is set to `OUTBOUND`.
`protocol`	`network.ip_protocol`	If the `protocol` log field value contain one of the following values, then the `protocol` log field is mapped to the `network.ip_protocol` UDM field. `TCP` `EIGRP` `ESP` `ETHERIP` `GRE` `ICMP` `IGMP` `IP6IN4` `PIM` `UDP` `VRRP`
`rxbytes`	`network.received_bytes`
`rxpackets`	`network.received_packets`
`txbytes`	`network.sent_bytes`
`txpackets`	`network.sent_packets`
`lifetime`	`network.session_duration.seconds`
`srcipstart`	`principal.ip`
`sourceip`	`principal.ip`
`srcipend`	`principal.ip`
`location`	`principal.location.name`
`sourceport`	`principal.port`
`user`	`principal.user.userid`
`destinationipstart`	`target.ip`
`destinationip`	`target.ip`
`destinationipend'`	`target.ip`
`destinationport`	`target.port`

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.