Raccogliere gli audit log di Zscaler ZPA

Supportato in:

Questo documento spiega come esportare i log di controllo Zscaler ZPA configurando l'agente Bindplane e come i campi dei log vengono mappati ai campi Unified Data Model (UDM) di Google SecOps.

Per ulteriori informazioni, consulta la panoramica dell'importazione dei dati in Google SecOps.

Un deployment tipico è costituito da Zscaler ZPA Audit e dall'agente Bindplane configurato per inviare i log a Google Security Operations. Ogni implementazione del cliente può variare ed essere più complessa.

Il deployment contiene i seguenti componenti:

  • Controllo Zscaler ZPA: la piattaforma da cui raccogli i log.

  • Agente Bindplane: l'agente Bindplane recupera i log da Zscaler ZPA Audit e li invia a Google Security Operations.

  • Google SecOps: conserva e analizza i log.

Un'etichetta di importazione identifica il parser che normalizza i dati di log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta ZSCALER_ZPA_AUDIT.

Prima di iniziare

  • Assicurati di utilizzare Zscaler ZPA Audit 2024 o versioni successive.
  • Assicurati di avere accesso alla console Zscaler Private Access. Per ulteriori informazioni, consulta la Guida di Secure Private Access (ZPA).
  • Assicurati che tutti i sistemi nell'architettura di deployment siano configurati con il fuso orario UTC.

Configurare il ricevitore di log in Zscaler Private Access

Per configurare e gestire Log Receiver in Zscaler Private Access:

Aggiungere un ricevitore log

  1. Seleziona Configurazione e controllo > Infrastruttura privata > Servizio di streaming dei log > Destinatari log e poi fai clic su Aggiungi destinatario log.
  2. Nella scheda Ricevitore log, procedi nel seguente modo:
    1. Nel campo Nome, inserisci il nome del destinatario dei log.
    2. Nel campo Descrizione, inserisci una descrizione.
    3. Nel campo Dominio o indirizzo IP, inserisci il nome di dominio completo (FQDN) o l'indirizzo IP del destinatario dei log.
    4. Nel campo Porta TCP, inserisci il numero di porta TCP utilizzato dal ricevitore dei log.
    5. Seleziona il tipo di crittografia in Crittografia TLS per attivare o disattivare la crittografia del traffico tra App Connector e il destinatario dei log. Per impostazione predefinita, questa impostazione è disattivata.
    6. Nell'elenco Gruppi di connettori app, scegli i gruppi di connettori app che possono inoltrare i log al destinatario e fai clic su Fine.
    7. Fai clic su Avanti.

  3. Nella scheda Stream di log:

    1. Seleziona un Tipo di log dal menu.
    2. Seleziona un modello di log dal menu.

    3. Copia e incolla Log Stream Content e aggiungi nuovi campi. Assicurati che i nomi delle chiavi corrispondano ai nomi dei campi effettivi.

      Di seguito è riportato il contenuto dello stream di log predefinito per il tipo di log di controllo: 

      {"ModifiedTime":%j{modifiedTime:iso8601},"CreationTime":%j{creationTime:iso8601},"ModifiedBy":%d{modifiedBy},"RequestID":%j{requestId},"SessionID":%j{sessionId},"AuditOldValue":%j{auditOldValue},"AuditNewValue":%j{auditNewValue},"AuditOperationType":%j{auditOperationType},"ObjectType":%j{objectType},"ObjectName":%j{objectName},"ObjectID":%d{objectId},"CustomerID":%d{customerId},"User":%j{modifiedByUser},"ClientAuditUpdate":%d{clientAuditUpdate}}\n

    4. In Attributi SAML, fai clic su Seleziona IdP e seleziona la configurazione IdP che vuoi includere nel criterio.

    5. Nel menu Segmenti di applicazioni, seleziona i segmenti di applicazioni che vuoi includere e fai clic su Fine.

    6. Nel menu Gruppi di segmenti, seleziona i gruppi di segmenti da includere e fai clic su Fine.

    7. Nel menu Tipi di client, seleziona i tipi di client da includere e fai clic su Fine.

    8. Nel menu Stati sessione, seleziona i codici di stato della sessione che vuoi escludere e fai clic su Fine.

    9. Fai clic su Avanti.

  4. Nella scheda Revisione, esamina la configurazione del ricevitore dei log e fai clic su Salva.

Nota:il parser ZSCALER_ZPA_AUDIT Gold supporta solo il formato dei log JSON, pertanto assicurati di selezionare JSON come Modello di log dal menu durante la configurazione dello stream di log.

Copiare un ricevitore log

  1. Seleziona Controllo > Infrastruttura privata > Servizio di streaming dei log > Destinatari dei log.
  2. Nella tabella, individua il destinatario dei log che vuoi modificare e fai clic su Copia.
  3. Nella finestra Aggiungi destinatario log, modifica i campi in base alle necessità. Per saperne di più su ogni campo, consulta la procedura nella sezione Aggiungere un destinatario log.
  4. Fai clic su Salva.

Modificare un ricevitore di log

  1. Seleziona Controllo > Infrastruttura privata > Servizio di streaming dei log > Destinatari dei log.
  2. Nella tabella, individua il ricevitore dei log che vuoi modificare e fai clic su Modifica.
  3. Nella finestra Modifica destinatario log, modifica i campi in base alle necessità. Per saperne di più su ogni campo, consulta la procedura nella sezione Aggiungere un destinatario log.
  4. Fai clic su Salva.

Eliminare un ricevitore log

  1. Seleziona Controllo > Infrastruttura privata > Servizio di streaming dei log > Destinatari dei log.
  2. Nella tabella, individua il destinatario dei log da modificare e fai clic su Elimina.
  3. Nella finestra Conferma, fai clic su Elimina.

Inoltrare i log a Google SecOps utilizzando l'agente Bindplane

  1. Installa e configura una macchina virtuale Linux.
  2. Installa e configura l'agente Bindplane su Linux per inoltrare i log a Google SecOps. Per saperne di più su come installare e configurare l'agente Bindplane, consulta le istruzioni di installazione e configurazione dell'agente Bindplane.

Se riscontri problemi durante la creazione dei feed, contatta l'assistenza Google SecOps.

Formati supportati per i log di controllo Zscaler ZPA

Il parser di controllo Zscaler ZPA supporta i log in formato JSON.

Log di esempio di controllo Zscaler ZPA supportati

  • JSON:

    {
  "ModifiedTime": "",
  "CreationTime": "2024-06-29T05:06:34.000Z",
  "ModifiedBy": 216193796315021769,
  "RequestID": "ed500dfb-c66d-4ec2-b97e-ec2018c811f4",
  "SessionID": "v2t27ixe6qs21cffpzy6jx1zv",
  "AuditOldValue": "",
  "AuditNewValue": "{\\"loginAttempt\\":\\"2024-06-29 05: 06: 34 UTC\\",\\"remoteIP\\":\\"198.51.100.0\\"}",
  "AuditOperationType": "Sign In",
  "ObjectType": "Authentication",
  "ObjectName": "",
  "ObjectID": 0,
  "CustomerID": dummy_customer_id,
  "User": "abc.xyz.com",
  "ClientAuditUpdate": 0
}

Tabella di mappatura UDM

Riferimento per la mappatura dei campi: ZSCALER_ZPA_AUDIT

La tabella seguente elenca i campi di log del tipo di log ZSCALER_ZPA_AUDIT e i relativi campi UDM.

Log field UDM mapping Logic
metadata.product_name The metadata.product_name UDM field is set to ZPA Audit.
metadata.vendor_name The metadata.vendor_name UDM field is set to Zscaler.
CreationTime metadata.event_timestamp
RequestID metadata.product_log_id
SessionID network.session_id
metadata.event_type If the AuditOperationType log field value is not empty, then if the AuditOperationType log field value is equal to Create, then the metadata.event_type UDM field is set to RESOURCE_CREATION.

Else, if the AuditOperationType log field value is equal to Client Session Revoked, then the metadata.event_type UDM field is set to USER_LOGOUT.

Else, if the AuditOperationType log field value is equal to Delete, then the metadata.event_type UDM field is set to RESOURCE_DELETION.

Else, if the AuditOperationType log field value is equal to Download, then the metadata.event_type UDM field is set to USER_RESOURCE_ACCESS.

Else, if the AuditOperationType log field value is equal to Sign In, then the metadata.event_type UDM field is set to USER_LOGIN.

Else, if the AuditOperationType log field value is equal to Sign In Failure, then the metadata.event_type UDM field is set to USER_LOGIN.

Else, if the AuditOperationType log field value is equal to Sign Out, then the metadata.event_type UDM field is set to USER_LOGOUT.

Else, if the AuditOperationType log field value is equal to Update, then the metadata.event_type UDM field is set to USER_RESOURCE_UPDATE_CONTENT.
metadata.product_event_type If the AuditOperationType log field value is not empty, then if the AuditOperationType log field value is equal to Create, then the metadata.product_event_type UDM field is set to create.

Else, if the AuditOperationType log field value is equal to Client Session Revoked, then the metadata.product_event_type UDM field is set to client session revoked.

Else, if the AuditOperationType log field value is equal to Delete, then the metadata.product_event_type UDM field is set to delete.

Else, if the AuditOperationType log field value is equal to Download, then the metadata.product_event_type UDM field is set to download.

Else, if the AuditOperationType log field value is equal to Sign In, then the metadata.product_event_type UDM field is set to user_login.

Else, if the AuditOperationType log field value is equal to Sign In Failure, then the metadata.product_event_type UDM field is set to user_login_fail.

Else, if the AuditOperationType log field value is equal to Sign Out, then the metadata.product_event_type UDM field is set to user_logout.

Else, if the AuditOperationType log field value is equal to Update, then the metadata.product_event_type UDM field is set to update.
security_result.action If the AuditOperationType log field value is not empty, then if the AuditOperationType log field value is equal to Client Session Revoked, then the security_result.action UDM field is set to BLOCK.

Else, if the AuditOperationType log field value is equal to Sign In, then the security_result.action UDM field is set to ALLOW.

Else, if the AuditOperationType log field value is equal to Sign In Failure, then the security_result.action UDM field is set to FAIL.
ObjectType target.resource.resource_subtype
ObjectID target.resource.product_object_id
ObjectName target.resource.name
ModifiedTime target.resource.attribute.labels[ModifiedTime]
ModifiedBy principal.user.userid
User principal.user.email_addresses
AuditOldValue additional.fields[AuditOldValue] Iterate through AuditOldValue object: The AuditOldValue object key is mapped to the additional.fields.key UDM field and AuditOldValue object value is mapped to the additional.fields.value UDM field.
AuditNewValue additional.fields[AuditNewValue] Iterate through AuditNewValue object: The AuditNewValue object key is set to the additional.fields.key UDM field and AuditNewValue object value is mapped to the additional.fields.value UDM field.
CustomerID target.user.userid
ClientAuditUpdate additional.fields[ClientAuditUpdate]

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.