Zscaler ZPA-Audit-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Zscaler ZPA-Audit-Logs exportieren, indem Sie den Bindplane-Agent einrichten, und wie Logfelder UDM-Feldern (Unified Data Model) von Google SecOps zugeordnet werden.

Weitere Informationen finden Sie unter Datenaufnahme in Google SecOps – Übersicht.

Eine typische Bereitstellung besteht aus Zscaler ZPA Audit und dem Bindplane-Agent, der so konfiguriert ist, dass Logs an Google Security Operations gesendet werden. Jede Kundenbereitstellung kann unterschiedlich sein und komplexer ausfallen.

Die Bereitstellung enthält die folgenden Komponenten:

  • Zscaler ZPA Audit: Die Plattform, von der Sie Logs erfassen.

  • BindPlane-Agent: Der BindPlane-Agent ruft Logs aus Zscaler ZPA Audit ab und sendet sie an Google Security Operations.

  • Google SecOps: Behält die Logs bei und analysiert sie.

Ein Erfassungslabel identifiziert den Parser, der Logrohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Label ZSCALER_ZPA_AUDIT.

Hinweise

  • Achten Sie darauf, dass Sie Zscaler ZPA Audit 2024 oder höher verwenden.
  • Prüfen Sie, ob Sie Zugriff auf die Zscaler Private Access-Konsole haben. Weitere Informationen finden Sie in der ZPA-Hilfe.
  • Achten Sie darauf, dass alle Systeme in der Bereitstellungsarchitektur mit der UTC-Zeitzone konfiguriert sind.

Log-Empfänger in Zscaler Private Access konfigurieren

Führen Sie die folgenden Schritte aus, um den Log-Empfänger in Zscaler Private Access zu konfigurieren und zu verwalten:

Log-Empfänger hinzufügen

  1. Wählen Sie Konfiguration & Steuerung > Private Infrastruktur > Log-Streaming-Dienst > Log-Empfänger aus und klicken Sie dann auf Log-Empfänger hinzufügen.
  2. Führen Sie auf dem Tab Log Receiver (Log-Empfänger) die folgenden Schritte aus:
    1. Geben Sie im Feld Name einen Namen für den Log-Empfänger ein.
    2. Geben Sie im Feld Beschreibung eine Beschreibung ein.
    3. Geben Sie im Feld Domain oder IP-Adresse den vollqualifizierten Domainnamen (FQDN) oder die IP-Adresse für den Protokollempfänger ein.
    4. Geben Sie im Feld TCP-Port die TCP-Portnummer ein, die vom Protokoll-Receiver verwendet wird.
    5. Wählen Sie den Verschlüsselungstyp unter TLS-Verschlüsselung aus, um die Verschlüsselung des Traffics zwischen dem App-Connector und dem Log-Empfänger zu aktivieren oder zu deaktivieren. Diese Einstellung ist standardmäßig deaktiviert.
    6. Wählen Sie in der Liste App Connector-Gruppen die App Connector-Gruppen aus, die Logs an den Empfänger weiterleiten können, und klicken Sie auf Fertig.
    7. Klicken Sie auf Weiter.

  3. Führen Sie auf dem Tab Log Stream (Log-Stream) folgende Schritte aus:

    1. Wählen Sie im Menü einen Log-Typ aus.
    2. Wählen Sie im Menü eine Log-Vorlage aus.

    3. Kopieren Sie den Log Stream Content und fügen Sie neue Felder hinzu. Die Schlüsselnamen müssen mit den tatsächlichen Feldnamen übereinstimmen.

      Im Folgenden sehen Sie den Standardinhalt des Log-Streams für den Audit-Log-Typ: 

      {"ModifiedTime":%j{modifiedTime:iso8601},"CreationTime":%j{creationTime:iso8601},"ModifiedBy":%d{modifiedBy},"RequestID":%j{requestId},"SessionID":%j{sessionId},"AuditOldValue":%j{auditOldValue},"AuditNewValue":%j{auditNewValue},"AuditOperationType":%j{auditOperationType},"ObjectType":%j{objectType},"ObjectName":%j{objectName},"ObjectID":%d{objectId},"CustomerID":%d{customerId},"User":%j{modifiedByUser},"ClientAuditUpdate":%d{clientAuditUpdate}}\n

    4. Klicken Sie unter SAML-Attribute auf IdP auswählen und wählen Sie die IdP-Konfiguration aus, die Sie in die Richtlinie aufnehmen möchten.

    5. Wählen Sie im Menü Anwendungssegmente die gewünschten Segmente aus und klicken Sie auf Fertig.

    6. Wählen Sie im Menü Segmentgruppen die gewünschten Segmentgruppen aus und klicken Sie auf Fertig.

    7. Wählen Sie im Menü Client Types (Clienttypen) die gewünschten Clienttypen aus und klicken Sie auf Done (Fertig).

    8. Wählen Sie im Menü Sitzungsstatus die Sitzungsstatuscodes aus, die Sie ausschließen möchten, und klicken Sie auf Fertig.

    9. Klicken Sie auf Weiter.

  4. Prüfen Sie auf dem Tab Überprüfen die Konfiguration des Log-Empfängers und klicken Sie auf Speichern.

Hinweis:Der ZSCALER_ZPA_AUDIT Gold-Parser unterstützt nur das JSON-Logformat. Wählen Sie daher beim Konfigurieren des Logstreams im Menü JSON als Logvorlage aus.

Log-Receiver kopieren

  1. Wählen Sie Steuerung > Private Infrastruktur > Log-Streaming-Dienst > Log-Empfänger aus.
  2. Suchen Sie in der Tabelle den Log-Empfänger, den Sie ändern möchten, und klicken Sie auf Kopieren.
  3. Ändern Sie im Fenster Log-Empfänger hinzufügen die Felder nach Bedarf. Weitere Informationen zu den einzelnen Feldern finden Sie im Abschnitt Log-Empfänger hinzufügen.
  4. Klicken Sie auf Speichern.

Log-Receiver bearbeiten

  1. Wählen Sie Steuerung > Private Infrastruktur > Log-Streaming-Dienst > Log-Empfänger aus.
  2. Suchen Sie in der Tabelle den Log-Empfänger, den Sie ändern möchten, und klicken Sie auf Bearbeiten.
  3. Ändern Sie im Fenster Log-Empfänger bearbeiten die Felder nach Bedarf. Weitere Informationen zu den einzelnen Feldern finden Sie im Abschnitt Log-Empfänger hinzufügen.
  4. Klicken Sie auf Speichern.

Log-Empfänger löschen

  1. Wählen Sie Steuerung > Private Infrastruktur > Log-Streaming-Dienst > Log-Empfänger aus.
  2. Suchen Sie in der Tabelle den Log-Empfänger, den Sie ändern möchten, und klicken Sie auf Löschen.
  3. Klicken Sie im Fenster Bestätigung auf Löschen.

Logs mit dem BindPlane-Agent an Google SecOps weiterleiten

  1. Installieren und richten Sie eine virtuelle Linux-Maschine ein.
  2. BindPlane-Agent unter Linux installieren und konfigurieren, um Logs an Google SecOps weiterzuleiten Weitere Informationen zur Installation und Konfiguration des Bindplane-Agents finden Sie in der Anleitung zur Installation und Konfiguration des Bindplane-Agents.

Wenn beim Erstellen von Feeds Probleme auftreten, wenden Sie sich an den Google SecOps-Support.

Unterstützte Zscaler ZPA-Audit-Logformate

Der Zscaler ZPA Audit-Parser unterstützt Logs im JSON-Format.

Unterstützte Zscaler ZPA-Beispiel-Audit-Logs

  • JSON:

    {
  "ModifiedTime": "",
  "CreationTime": "2024-06-29T05:06:34.000Z",
  "ModifiedBy": 216193796315021769,
  "RequestID": "ed500dfb-c66d-4ec2-b97e-ec2018c811f4",
  "SessionID": "v2t27ixe6qs21cffpzy6jx1zv",
  "AuditOldValue": "",
  "AuditNewValue": "{\\"loginAttempt\\":\\"2024-06-29 05: 06: 34 UTC\\",\\"remoteIP\\":\\"198.51.100.0\\"}",
  "AuditOperationType": "Sign In",
  "ObjectType": "Authentication",
  "ObjectName": "",
  "ObjectID": 0,
  "CustomerID": dummy_customer_id,
  "User": "abc.xyz.com",
  "ClientAuditUpdate": 0
}

UDM-Zuordnungstabelle

Referenz zur Feldzuordnung: ZSCALER_ZPA_AUDIT

In der folgenden Tabelle sind die Logfelder des Logtyps ZSCALER_ZPA_AUDIT und die entsprechenden UDM-Felder aufgeführt.

Log field UDM mapping Logic
metadata.product_name The metadata.product_name UDM field is set to ZPA Audit.
metadata.vendor_name The metadata.vendor_name UDM field is set to Zscaler.
CreationTime metadata.event_timestamp
RequestID metadata.product_log_id
SessionID network.session_id
metadata.event_type If the AuditOperationType log field value is not empty, then if the AuditOperationType log field value is equal to Create, then the metadata.event_type UDM field is set to RESOURCE_CREATION.

Else, if the AuditOperationType log field value is equal to Client Session Revoked, then the metadata.event_type UDM field is set to USER_LOGOUT.

Else, if the AuditOperationType log field value is equal to Delete, then the metadata.event_type UDM field is set to RESOURCE_DELETION.

Else, if the AuditOperationType log field value is equal to Download, then the metadata.event_type UDM field is set to USER_RESOURCE_ACCESS.

Else, if the AuditOperationType log field value is equal to Sign In, then the metadata.event_type UDM field is set to USER_LOGIN.

Else, if the AuditOperationType log field value is equal to Sign In Failure, then the metadata.event_type UDM field is set to USER_LOGIN.

Else, if the AuditOperationType log field value is equal to Sign Out, then the metadata.event_type UDM field is set to USER_LOGOUT.

Else, if the AuditOperationType log field value is equal to Update, then the metadata.event_type UDM field is set to USER_RESOURCE_UPDATE_CONTENT.
metadata.product_event_type If the AuditOperationType log field value is not empty, then if the AuditOperationType log field value is equal to Create, then the metadata.product_event_type UDM field is set to create.

Else, if the AuditOperationType log field value is equal to Client Session Revoked, then the metadata.product_event_type UDM field is set to client session revoked.

Else, if the AuditOperationType log field value is equal to Delete, then the metadata.product_event_type UDM field is set to delete.

Else, if the AuditOperationType log field value is equal to Download, then the metadata.product_event_type UDM field is set to download.

Else, if the AuditOperationType log field value is equal to Sign In, then the metadata.product_event_type UDM field is set to user_login.

Else, if the AuditOperationType log field value is equal to Sign In Failure, then the metadata.product_event_type UDM field is set to user_login_fail.

Else, if the AuditOperationType log field value is equal to Sign Out, then the metadata.product_event_type UDM field is set to user_logout.

Else, if the AuditOperationType log field value is equal to Update, then the metadata.product_event_type UDM field is set to update.
security_result.action If the AuditOperationType log field value is not empty, then if the AuditOperationType log field value is equal to Client Session Revoked, then the security_result.action UDM field is set to BLOCK.

Else, if the AuditOperationType log field value is equal to Sign In, then the security_result.action UDM field is set to ALLOW.

Else, if the AuditOperationType log field value is equal to Sign In Failure, then the security_result.action UDM field is set to FAIL.
ObjectType target.resource.resource_subtype
ObjectID target.resource.product_object_id
ObjectName target.resource.name
ModifiedTime target.resource.attribute.labels[ModifiedTime]
ModifiedBy principal.user.userid
User principal.user.email_addresses
AuditOldValue additional.fields[AuditOldValue] Iterate through AuditOldValue object: The AuditOldValue object key is mapped to the additional.fields.key UDM field and AuditOldValue object value is mapped to the additional.fields.value UDM field.
AuditNewValue additional.fields[AuditNewValue] Iterate through AuditNewValue object: The AuditNewValue object key is set to the additional.fields.key UDM field and AuditNewValue object value is mapped to the additional.fields.value UDM field.
CustomerID target.user.userid
ClientAuditUpdate additional.fields[ClientAuditUpdate]

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten