Mengumpulkan log Audit Zscaler ZPA

Didukung di:

Dokumen ini menjelaskan cara mengekspor log Audit Zscaler ZPA dengan menyiapkan agen Bindplane dan cara kolom log dipetakan ke kolom Model Data Terpadu (UDM) Google SecOps.

Untuk mengetahui informasi selengkapnya, lihat Ringkasan penyerapan data ke Google SecOps.

Deployment umum terdiri dari Audit ZPA Zscaler dan agen Bindplane yang dikonfigurasi untuk mengirim log ke Google Security Operations. Setiap deployment pelanggan dapat berbeda dan mungkin lebih kompleks.

Deployment berisi komponen berikut:

  • Audit ZPA Zscaler: Platform tempat Anda mengumpulkan log.

  • Agen Bindplane: Agen Bindplane mengambil log dari Audit Zscaler ZPA dan mengirim log ke Google Security Operations.

  • Google SecOps: Mempertahankan dan menganalisis log.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label ZSCALER_ZPA_AUDIT.

Sebelum memulai

  • Pastikan Anda menggunakan Zscaler ZPA Audit 2024 atau yang lebih baru.
  • Pastikan Anda memiliki akses ke konsol Zscaler Private Access. Untuk mengetahui informasi selengkapnya, lihat Bantuan Secure Private Access (ZPA).
  • Pastikan semua sistem dalam arsitektur deployment dikonfigurasi dengan zona waktu UTC.

Mengonfigurasi Penerima Log di Zscaler Private Access

Gunakan langkah-langkah berikut untuk mengonfigurasi dan mengelola Penerima Log di Zscaler Private Access:

Menambahkan penerima log

  1. Pilih Configuration & Control > Private Infrastructure > Log Streaming Service > Log Receivers, lalu klik Add Log Receiver.
  2. Di tab Log Receiver, lakukan tindakan berikut:
    1. Di kolom Name, masukkan nama untuk penerima log.
    2. Di kolom Deskripsi, masukkan deskripsi.
    3. Di kolom Domain or IP Address, masukkan nama domain yang sepenuhnya memenuhi syarat (FQDN) atau alamat IP untuk penerima log.
    4. Di kolom TCP Port, masukkan nomor port TCP yang digunakan oleh penerima log.
    5. Pilih jenis enkripsi di Enkripsi TLS untuk mengaktifkan atau menonaktifkan enkripsi traffic antara App Connector dan penerima log. Secara default, setelan ini dinonaktifkan.
    6. Dalam daftar Grup App Connector, pilih grup App Connector yang dapat meneruskan log ke penerima, lalu klik Selesai.
    7. Klik Berikutnya.

  3. Di tab Log Stream, lakukan hal berikut:

    1. Pilih Jenis Log dari menu.
    2. Pilih Template Log dari menu.

    3. Salin dan tempel Log Stream Content dan tambahkan kolom baru. Pastikan nama kunci cocok dengan nama kolom sebenarnya.

      Berikut adalah Konten Aliran Log default untuk jenis log Audit: 

      {"ModifiedTime":%j{modifiedTime:iso8601},"CreationTime":%j{creationTime:iso8601},"ModifiedBy":%d{modifiedBy},"RequestID":%j{requestId},"SessionID":%j{sessionId},"AuditOldValue":%j{auditOldValue},"AuditNewValue":%j{auditNewValue},"AuditOperationType":%j{auditOperationType},"ObjectType":%j{objectType},"ObjectName":%j{objectName},"ObjectID":%d{objectId},"CustomerID":%d{customerId},"User":%j{modifiedByUser},"ClientAuditUpdate":%d{clientAuditUpdate}}\n

    4. Di Atribut SAML, klik Pilih IdP, lalu pilih konfigurasi IdP yang ingin Anda sertakan dalam kebijakan.

    5. Di menu Segmen Aplikasi, pilih segmen aplikasi yang ingin Anda sertakan, lalu klik Selesai.

    6. Di menu Grup Segmen, pilih grup segmen yang ingin Anda sertakan, lalu klik Selesai.

    7. Di menu Jenis Klien, pilih jenis klien yang ingin Anda sertakan, lalu klik Selesai.

    8. Di menu Status Sesi, pilih kode status sesi yang ingin Anda kecualikan, lalu klik Selesai.

    9. Klik Berikutnya.

  4. Di tab Tinjau, tinjau konfigurasi penerima log Anda, lalu klik Simpan.

Catatan: Parser Gold ZSCALER_ZPA_AUDIT hanya mendukung format log JSON, jadi pastikan untuk memilih JSON sebagai Log Template dari menu saat mengonfigurasi aliran log.

Menyalin Penerima log

  1. Pilih Control > Private Infrastructure > Log Streaming Service > Log Receivers.
  2. Di tabel, temukan penerima log yang ingin Anda ubah, lalu klik Salin.
  3. Di jendela Tambahkan Penerima Log, ubah kolom sesuai kebutuhan. Untuk mempelajari lebih lanjut setiap kolom, lihat prosedur di bagian Menambahkan Penerima Log.
  4. Klik Simpan.

Mengedit Penerima log

  1. Pilih Control > Private Infrastructure > Log Streaming Service > Log Receivers.
  2. Di tabel, temukan penerima log yang ingin Anda ubah, lalu klik Edit.
  3. Di jendela Edit Penerima Log, ubah kolom sesuai kebutuhan. Untuk mempelajari lebih lanjut setiap kolom, lihat prosedur di bagian Menambahkan Penerima Log.
  4. Klik Simpan.

Menghapus Penerima log

  1. Pilih Control > Private Infrastructure > Log Streaming Service > Log Receivers.
  2. Di tabel, temukan penerima log yang ingin Anda ubah, lalu klik Hapus.
  3. Di jendela Konfirmasi, klik Hapus.

Meneruskan Log ke Google SecOps menggunakan agen BindPlane

  1. Instal dan siapkan Mesin Virtual Linux.
  2. Instal dan konfigurasi agen BindPlane di Linux untuk meneruskan log ke Google SecOps. Untuk mengetahui informasi selengkapnya tentang cara menginstal dan mengonfigurasi agen BindPlane, lihat petunjuk penginstalan dan konfigurasi agen BindPlane.

Jika Anda mengalami masalah saat membuat feed, hubungi dukungan SecOps Google.

Format log Audit Zscaler ZPA yang didukung

Parser Audit Zscaler ZPA mendukung log dalam format JSON.

Contoh log audit Zscaler ZPA yang didukung

  • JSON:

    {
  "ModifiedTime": "",
  "CreationTime": "2024-06-29T05:06:34.000Z",
  "ModifiedBy": 216193796315021769,
  "RequestID": "ed500dfb-c66d-4ec2-b97e-ec2018c811f4",
  "SessionID": "v2t27ixe6qs21cffpzy6jx1zv",
  "AuditOldValue": "",
  "AuditNewValue": "{\\"loginAttempt\\":\\"2024-06-29 05: 06: 34 UTC\\",\\"remoteIP\\":\\"198.51.100.0\\"}",
  "AuditOperationType": "Sign In",
  "ObjectType": "Authentication",
  "ObjectName": "",
  "ObjectID": 0,
  "CustomerID": dummy_customer_id,
  "User": "abc.xyz.com",
  "ClientAuditUpdate": 0
}

Tabel Pemetaan UDM

Referensi pemetaan kolom: ZSCALER_ZPA_AUDIT

Tabel berikut mencantumkan kolom log jenis log ZSCALER_ZPA_AUDIT dan kolom UDM yang sesuai.

Log field UDM mapping Logic
metadata.product_name The metadata.product_name UDM field is set to ZPA Audit.
metadata.vendor_name The metadata.vendor_name UDM field is set to Zscaler.
CreationTime metadata.event_timestamp
RequestID metadata.product_log_id
SessionID network.session_id
metadata.event_type If the AuditOperationType log field value is not empty, then if the AuditOperationType log field value is equal to Create, then the metadata.event_type UDM field is set to RESOURCE_CREATION.

Else, if the AuditOperationType log field value is equal to Client Session Revoked, then the metadata.event_type UDM field is set to USER_LOGOUT.

Else, if the AuditOperationType log field value is equal to Delete, then the metadata.event_type UDM field is set to RESOURCE_DELETION.

Else, if the AuditOperationType log field value is equal to Download, then the metadata.event_type UDM field is set to USER_RESOURCE_ACCESS.

Else, if the AuditOperationType log field value is equal to Sign In, then the metadata.event_type UDM field is set to USER_LOGIN.

Else, if the AuditOperationType log field value is equal to Sign In Failure, then the metadata.event_type UDM field is set to USER_LOGIN.

Else, if the AuditOperationType log field value is equal to Sign Out, then the metadata.event_type UDM field is set to USER_LOGOUT.

Else, if the AuditOperationType log field value is equal to Update, then the metadata.event_type UDM field is set to USER_RESOURCE_UPDATE_CONTENT.
metadata.product_event_type If the AuditOperationType log field value is not empty, then if the AuditOperationType log field value is equal to Create, then the metadata.product_event_type UDM field is set to create.

Else, if the AuditOperationType log field value is equal to Client Session Revoked, then the metadata.product_event_type UDM field is set to client session revoked.

Else, if the AuditOperationType log field value is equal to Delete, then the metadata.product_event_type UDM field is set to delete.

Else, if the AuditOperationType log field value is equal to Download, then the metadata.product_event_type UDM field is set to download.

Else, if the AuditOperationType log field value is equal to Sign In, then the metadata.product_event_type UDM field is set to user_login.

Else, if the AuditOperationType log field value is equal to Sign In Failure, then the metadata.product_event_type UDM field is set to user_login_fail.

Else, if the AuditOperationType log field value is equal to Sign Out, then the metadata.product_event_type UDM field is set to user_logout.

Else, if the AuditOperationType log field value is equal to Update, then the metadata.product_event_type UDM field is set to update.
security_result.action If the AuditOperationType log field value is not empty, then if the AuditOperationType log field value is equal to Client Session Revoked, then the security_result.action UDM field is set to BLOCK.

Else, if the AuditOperationType log field value is equal to Sign In, then the security_result.action UDM field is set to ALLOW.

Else, if the AuditOperationType log field value is equal to Sign In Failure, then the security_result.action UDM field is set to FAIL.
ObjectType target.resource.resource_subtype
ObjectID target.resource.product_object_id
ObjectName target.resource.name
ModifiedTime target.resource.attribute.labels[ModifiedTime]
ModifiedBy principal.user.userid
User principal.user.email_addresses
AuditOldValue additional.fields[AuditOldValue] Iterate through AuditOldValue object: The AuditOldValue object key is mapped to the additional.fields.key UDM field and AuditOldValue object value is mapped to the additional.fields.value UDM field.
AuditNewValue additional.fields[AuditNewValue] Iterate through AuditNewValue object: The AuditNewValue object key is set to the additional.fields.key UDM field and AuditNewValue object value is mapped to the additional.fields.value UDM field.
CustomerID target.user.userid
ClientAuditUpdate additional.fields[ClientAuditUpdate]

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.