Esta página se ha traducido con Cloud Translation API.

Recopilar registros de auditoría de Zscaler ZPA

Disponible en:

SecOps de Google SIEM

En este documento se explica cómo exportar registros de auditoría de Zscaler ZPA configurando el agente de Bindplane y cómo se asignan los campos de registro a los campos del modelo de datos unificado (UDM) de Google SecOps.

Para obtener más información, consulta el artículo Descripción general de la ingesta de datos en Google SecOps.

Una implementación típica consta de Zscaler ZPA Audit y el agente de Bindplane configurado para enviar registros a Google Security Operations. Cada implementación de cliente puede ser diferente y más compleja.

La implementación contiene los siguientes componentes:

Auditoría de Zscaler ZPA: la plataforma desde la que recoges los registros.
Agente de Bindplane: el agente de Bindplane obtiene registros de auditoría de Zscaler ZPA y los envía a Google Security Operations.
Google SecOps: conserva y analiza los registros.

Una etiqueta de ingestión identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta ZSCALER_ZPA_AUDIT.

Antes de empezar

Asegúrate de que estás usando Zscaler ZPA Audit 2024 o una versión posterior.
Asegúrate de que tienes acceso a la consola de Zscaler Private Access. Para obtener más información, consulta la ayuda de Secure Private Access (ZPA).
Asegúrate de que todos los sistemas de la arquitectura de implementación estén configurados con la zona horaria UTC.

Configurar Log Receiver en Zscaler Private Access

Sigue estos pasos para configurar y gestionar Log Receiver en Zscaler Private Access:

Añadir un receptor de registros

Selecciona Configuración y control > Infraestructura privada > Servicio de streaming de registros > Receptores de registros y, a continuación, haz clic en Añadir receptor de registros.
En la pestaña Receptor de registros, haz lo siguiente:
1. En el campo Nombre, introduce el nombre del receptor de registros.
2. En el campo Descripción, introduce una descripción.
3. En el campo Domain or IP Address (Dominio o dirección IP), introduce el nombre de dominio completo (FQDN) o la dirección IP del receptor de registros.
4. En el campo Puerto TCP, introduce el número de puerto TCP que usa el receptor de registros.
5. Selecciona el tipo de cifrado en Cifrado TLS para habilitar o inhabilitar el cifrado del tráfico entre el conector de aplicaciones y el receptor de registros. Esta opción está inhabilitada de forma predeterminada.
6. En la lista Grupos de conectores de aplicaciones, elija los grupos de conectores de aplicaciones que puedan reenviar registros al receptor y haga clic en Hecho.
7. Haz clic en Siguiente.
En la pestaña Registro de flujo, haz lo siguiente:
1. Selecciona un Tipo de registro en el menú.
2. Selecciona una plantilla de registro en el menú.
3. Copia y pega el contenido del flujo de registros y añade campos nuevos. Asegúrate de que los nombres de las claves coincidan con los nombres de los campos.
  
  A continuación se muestra el contenido del flujo de registro predeterminado del tipo de registro de auditoría:
```
{"ModifiedTime":%j{modifiedTime:iso8601},"CreationTime":%j{creationTime:iso8601},"ModifiedBy":%d{modifiedBy},"RequestID":%j{requestId},"SessionID":%j{sessionId},"AuditOldValue":%j{auditOldValue},"AuditNewValue":%j{auditNewValue},"AuditOperationType":%j{auditOperationType},"ObjectType":%j{objectType},"ObjectName":%j{objectName},"ObjectID":%d{objectId},"CustomerID":%d{customerId},"User":%j{modifiedByUser},"ClientAuditUpdate":%d{clientAuditUpdate}}\n
```
4. En Atributos de SAML, haz clic en Seleccionar IdP y elige la configuración del IdP que quieras incluir en la política.
5. En el menú Segmentos de aplicación, seleccione los segmentos de aplicación que quiera incluir y haga clic en Hecho.
6. En el menú Grupos de segmentos, seleccione los grupos de segmentos que quiera incluir y haga clic en Hecho.
7. En el menú Tipos de cliente, seleccione los tipos de cliente que quiera incluir y haga clic en Hecho.
8. En el menú Estados de la sesión, seleccione los códigos de estado de la sesión que quiera excluir y haga clic en Hecho.
9. Haz clic en Siguiente.
En la pestaña Revisar, comprueba la configuración del receptor de registros y haz clic en Guardar.

Nota: El analizador ZSCALER_ZPA_AUDIT Gold solo admite el formato de registro JSON, por lo que debes seleccionar JSON como Plantilla de registro en el menú al configurar el flujo de registro.

Copiar un receptor de registros

Selecciona Control > Infraestructura privada > Servicio de streaming de registros > Receptores de registros.
En la tabla, busque el receptor de registros que quiera modificar y haga clic en Copiar.
En la ventana Añadir receptor de registros, modifique los campos según sea necesario. Para obtener más información sobre cada campo, consulta el procedimiento de la sección Añadir receptor de registros.
Haz clic en Guardar.

Editar un receptor de registros

Selecciona Control > Infraestructura privada > Servicio de streaming de registros > Receptores de registros.
En la tabla, busque el receptor de registros que quiera modificar y haga clic en Editar.
En la ventana Editar receptor de registro, modifique los campos según sea necesario. Para obtener más información sobre cada campo, consulta el procedimiento de la sección Añadir receptor de registros.
Haz clic en Guardar.

Eliminar un receptor de registros

Selecciona Control > Infraestructura privada > Servicio de streaming de registros > Receptores de registros.
En la tabla, busca el receptor de registros que quieras modificar y haz clic en Eliminar.
En la ventana Confirmación, haz clic en Eliminar.

Reenviar registros a Google SecOps mediante el agente Bindplane

Instala y configura una máquina virtual Linux.
Instala y configura el agente de Bindplane en Linux para reenviar registros a Google SecOps. Para obtener más información sobre cómo instalar y configurar el agente de Bindplane, consulta las instrucciones de instalación y configuración del agente de Bindplane.

Si tienes problemas al crear feeds, ponte en contacto con el equipo de Asistencia de SecOps de Google.

Formatos de registro de auditoría de Zscaler ZPA admitidos

El analizador de auditoría de Zscaler ZPA admite registros en formato JSON.

Registros de ejemplo de auditoría de Zscaler ZPA admitidos

JSON:

{
  "ModifiedTime": "",
  "CreationTime": "2024-06-29T05:06:34.000Z",
  "ModifiedBy": 216193796315021769,
  "RequestID": "ed500dfb-c66d-4ec2-b97e-ec2018c811f4",
  "SessionID": "v2t27ixe6qs21cffpzy6jx1zv",
  "AuditOldValue": "",
  "AuditNewValue": "{\\"loginAttempt\\":\\"2024-06-29 05: 06: 34 UTC\\",\\"remoteIP\\":\\"198.51.100.0\\"}",
  "AuditOperationType": "Sign In",
  "ObjectType": "Authentication",
  "ObjectName": "",
  "ObjectID": 0,
  "CustomerID": dummy_customer_id,
  "User": "abc.xyz.com",
  "ClientAuditUpdate": 0
}

Tabla de asignación de UDM

Referencia de asignación de campos: ZSCALER_ZPA_AUDIT

En la siguiente tabla se enumeran los campos de registro del tipo de registro ZSCALER_ZPA_AUDIT y sus campos de UDM correspondientes.

Log field	UDM mapping	Logic
	`metadata.product_name`	The `metadata.product_name` UDM field is set to `ZPA Audit`.
	`metadata.vendor_name`	The `metadata.vendor_name` UDM field is set to `Zscaler`.
`CreationTime`	`metadata.event_timestamp`
`RequestID`	`metadata.product_log_id`
`SessionID`	`network.session_id`
	`metadata.event_type`	If the `AuditOperationType` log field value is not empty, then if the `AuditOperationType` log field value is equal to `Create`, then the `metadata.event_type` UDM field is set to `RESOURCE_CREATION`. Else, if the `AuditOperationType` log field value is equal to `Client Session Revoked`, then the `metadata.event_type` UDM field is set to `USER_LOGOUT`. Else, if the `AuditOperationType` log field value is equal to `Delete`, then the `metadata.event_type` UDM field is set to `RESOURCE_DELETION`. Else, if the `AuditOperationType` log field value is equal to `Download`, then the `metadata.event_type` UDM field is set to `USER_RESOURCE_ACCESS`. Else, if the `AuditOperationType` log field value is equal to `Sign In`, then the `metadata.event_type` UDM field is set to `USER_LOGIN`. Else, if the `AuditOperationType` log field value is equal to `Sign In Failure`, then the `metadata.event_type` UDM field is set to `USER_LOGIN`. Else, if the `AuditOperationType` log field value is equal to `Sign Out`, then the `metadata.event_type` UDM field is set to `USER_LOGOUT`. Else, if the `AuditOperationType` log field value is equal to `Update`, then the `metadata.event_type` UDM field is set to `USER_RESOURCE_UPDATE_CONTENT`.
	`metadata.product_event_type`	If the `AuditOperationType` log field value is not empty, then if the `AuditOperationType` log field value is equal to `Create`, then the `metadata.product_event_type` UDM field is set to `create`. Else, if the `AuditOperationType` log field value is equal to `Client Session Revoked`, then the `metadata.product_event_type` UDM field is set to `client session revoked`. Else, if the `AuditOperationType` log field value is equal to `Delete`, then the `metadata.product_event_type` UDM field is set to `delete`. Else, if the `AuditOperationType` log field value is equal to `Download`, then the `metadata.product_event_type` UDM field is set to `download`. Else, if the `AuditOperationType` log field value is equal to `Sign In`, then the `metadata.product_event_type` UDM field is set to `user_login`. Else, if the `AuditOperationType` log field value is equal to `Sign In Failure`, then the `metadata.product_event_type` UDM field is set to `user_login_fail`. Else, if the `AuditOperationType` log field value is equal to `Sign Out`, then the `metadata.product_event_type` UDM field is set to `user_logout`. Else, if the `AuditOperationType` log field value is equal to `Update`, then the `metadata.product_event_type` UDM field is set to `update`.
	`security_result.action`	If the `AuditOperationType` log field value is not empty, then if the `AuditOperationType` log field value is equal to `Client Session Revoked`, then the `security_result.action` UDM field is set to `BLOCK`. Else, if the `AuditOperationType` log field value is equal to `Sign In`, then the `security_result.action` UDM field is set to `ALLOW`. Else, if the `AuditOperationType` log field value is equal to `Sign In Failure`, then the `security_result.action` UDM field is set to `FAIL`.
`ObjectType`	`target.resource.resource_subtype`
`ObjectID`	`target.resource.product_object_id`
`ObjectName`	`target.resource.name`
`ModifiedTime`	`target.resource.attribute.labels[ModifiedTime]`
`ModifiedBy`	`principal.user.userid`
`User`	`principal.user.email_addresses`
`AuditOldValue`	`additional.fields[AuditOldValue]`	Iterate through AuditOldValue object: The `AuditOldValue object key` is mapped to the `additional.fields.key` UDM field and `AuditOldValue object value` is mapped to the `additional.fields.value` UDM field.
`AuditNewValue`	`additional.fields[AuditNewValue]`	Iterate through AuditNewValue object: The `AuditNewValue object key` is set to the `additional.fields.key` UDM field and `AuditNewValue object value` is mapped to the `additional.fields.value` UDM field.
`CustomerID`	`target.user.userid`
`ClientAuditUpdate`	`additional.fields[ClientAuditUpdate]`

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.