Recolha registos de auditoria do Zscaler ZPA

Compatível com:

Este documento explica como exportar registos de auditoria do Zscaler ZPA configurando o agente Bindplane e como os campos de registo são mapeados para os campos do modelo de dados unificado (UDM) do Google SecOps.

Para mais informações, consulte o artigo Vista geral da ingestão de dados no Google SecOps.

Uma implementação típica consiste na auditoria do Zscaler ZPA e no agente do Bindplane configurados para enviar registos para o Google Security Operations. Cada implementação do cliente pode ser diferente e mais complexa.

A implementação contém os seguintes componentes:

  • Zscaler ZPA Audit: a plataforma a partir da qual recolhe registos.

  • Agente Bindplane: o agente Bindplane obtém registos da auditoria do Zscaler ZPA e envia registos para o Google Security Operations.

  • Google SecOps: retém e analisa os registos.

Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador com a etiqueta ZSCALER_ZPA_AUDIT.

Antes de começar

  • Certifique-se de que está a usar o Zscaler ZPA Audit 2024 ou posterior.
  • Certifique-se de que tem acesso à consola do Zscaler Private Access. Para mais informações, consulte a Ajuda do acesso privado seguro (ZPA).
  • Certifique-se de que todos os sistemas na arquitetura de implementação estão configurados com o fuso horário UTC.

Configure o recetor de registos no Zscaler Private Access

Siga os passos seguintes para configurar e gerir o Log Receiver no Zscaler Private Access:

Adicione um recetor de registos

  1. Selecione Configuração e controlo > Infraestrutura privada > Serviço de streaming de registos > Recetores de registos e, de seguida, clique em Adicionar recetor de registos.
  2. No separador Recetor de registos, faça o seguinte:
    1. No campo Nome, introduza o nome do recetor de registos.
    2. No campo Descrição, introduza uma descrição.
    3. No campo Domínio ou endereço IP, introduza o nome do domínio totalmente qualificado (FQDN) ou o endereço IP do recetor de registos.
    4. No campo Porta TCP, introduza o número da porta TCP usado pelo recetor de registos.
    5. Selecione o tipo de encriptação em Encriptação TLS para ativar ou desativar a encriptação do tráfego entre o conetor de apps e o recetor de registos. Por predefinição, esta definição está desativada.
    6. Na lista Grupos de conetores de apps, escolha os grupos de conetores de apps que podem encaminhar registos para o recetor e clique em Concluído.
    7. Clicar em Seguinte.

  3. No separador Stream de registo, faça o seguinte:

    1. Selecione um Tipo de registo no menu.
    2. Selecione um modelo de registo no menu.

    3. Copie e cole o Log Stream Content e adicione novos campos. Certifique-se de que os nomes das chaves correspondem aos nomes dos campos reais.

      Segue-se o conteúdo da stream de registo predefinido para o tipo de registo de auditoria: 

      {"ModifiedTime":%j{modifiedTime:iso8601},"CreationTime":%j{creationTime:iso8601},"ModifiedBy":%d{modifiedBy},"RequestID":%j{requestId},"SessionID":%j{sessionId},"AuditOldValue":%j{auditOldValue},"AuditNewValue":%j{auditNewValue},"AuditOperationType":%j{auditOperationType},"ObjectType":%j{objectType},"ObjectName":%j{objectName},"ObjectID":%d{objectId},"CustomerID":%d{customerId},"User":%j{modifiedByUser},"ClientAuditUpdate":%d{clientAuditUpdate}}\n

    4. Em Atributos SAML, clique em Selecionar IdP e selecione a configuração do IdP que quer incluir na política.

    5. No menu Segmentos de aplicações, selecione os segmentos de aplicações que quer incluir e clique em Concluído.

    6. No menu Grupos de segmentos, selecione os grupos de segmentos que quer incluir e clique em Concluído.

    7. No menu Tipos de clientes, selecione os tipos de clientes que quer incluir e clique em Concluído.

    8. No menu Estados da sessão, selecione os códigos de estado da sessão que quer excluir e clique em Concluído.

    9. Clicar em Seguinte.

  4. No separador Rever, reveja a configuração do recetor de registos e clique em Guardar.

Nota: o analisador Gold só suporta o formato de registo JSON. Por isso, certifique-se de que seleciona JSON como Modelo de registo no menu ao configurar o fluxo de registo.ZSCALER_ZPA_AUDIT

Copie um recetor de registos

  1. Selecione Control > Private Infrastructure > Log Streaming Service > Log Receivers.
  2. Na tabela, localize o recetor de registos que quer modificar e clique em Copiar.
  3. Na janela Adicionar recetor de registos, modifique os campos conforme necessário. Para saber mais acerca de cada campo, consulte o procedimento na secção Adicione um recetor de registos.
  4. Clique em Guardar.

Edite um recetor de registos

  1. Selecione Control > Private Infrastructure > Log Streaming Service > Log Receivers.
  2. Na tabela, localize o destinatário de registos que quer modificar e clique em Editar.
  3. Na janela Editar recetor de registos, modifique os campos conforme necessário. Para saber mais acerca de cada campo, consulte o procedimento na secção Adicione um recetor de registos.
  4. Clique em Guardar.

Elimine um recetor de registos

  1. Selecione Control > Private Infrastructure > Log Streaming Service > Log Receivers.
  2. Na tabela, localize o recetor de registos que quer modificar e clique em Eliminar.
  3. Na janela Confirmação, clique em Eliminar.

Encaminhe registos para o Google SecOps através do agente Bindplane

  1. Instale e configure uma máquina virtual Linux.
  2. Instale e configure o agente Bindplane no Linux para encaminhar registos para o Google SecOps. Para mais informações sobre como instalar e configurar o agente Bindplane, consulte as instruções de instalação e configuração do agente Bindplane.

Se tiver problemas ao criar feeds, contacte o apoio técnico da Google SecOps.

Formatos de registos de auditoria do Zscaler ZPA suportados

O analisador Zscaler ZPA Audit suporta registos no formato JSON.

Registos de exemplo de auditoria do Zscaler ZPA suportados

  • JSON:

    {
  "ModifiedTime": "",
  "CreationTime": "2024-06-29T05:06:34.000Z",
  "ModifiedBy": 216193796315021769,
  "RequestID": "ed500dfb-c66d-4ec2-b97e-ec2018c811f4",
  "SessionID": "v2t27ixe6qs21cffpzy6jx1zv",
  "AuditOldValue": "",
  "AuditNewValue": "{\\"loginAttempt\\":\\"2024-06-29 05: 06: 34 UTC\\",\\"remoteIP\\":\\"198.51.100.0\\"}",
  "AuditOperationType": "Sign In",
  "ObjectType": "Authentication",
  "ObjectName": "",
  "ObjectID": 0,
  "CustomerID": dummy_customer_id,
  "User": "abc.xyz.com",
  "ClientAuditUpdate": 0
}

Tabela de mapeamento da UDM

Referência de mapeamento de campos: ZSCALER_ZPA_AUDIT

A tabela seguinte apresenta os campos de registo do ZSCALER_ZPA_AUDIT tipo de registo e os respetivos campos UDM.

Log field UDM mapping Logic
metadata.product_name The metadata.product_name UDM field is set to ZPA Audit.
metadata.vendor_name The metadata.vendor_name UDM field is set to Zscaler.
CreationTime metadata.event_timestamp
RequestID metadata.product_log_id
SessionID network.session_id
metadata.event_type If the AuditOperationType log field value is not empty, then if the AuditOperationType log field value is equal to Create, then the metadata.event_type UDM field is set to RESOURCE_CREATION.

Else, if the AuditOperationType log field value is equal to Client Session Revoked, then the metadata.event_type UDM field is set to USER_LOGOUT.

Else, if the AuditOperationType log field value is equal to Delete, then the metadata.event_type UDM field is set to RESOURCE_DELETION.

Else, if the AuditOperationType log field value is equal to Download, then the metadata.event_type UDM field is set to USER_RESOURCE_ACCESS.

Else, if the AuditOperationType log field value is equal to Sign In, then the metadata.event_type UDM field is set to USER_LOGIN.

Else, if the AuditOperationType log field value is equal to Sign In Failure, then the metadata.event_type UDM field is set to USER_LOGIN.

Else, if the AuditOperationType log field value is equal to Sign Out, then the metadata.event_type UDM field is set to USER_LOGOUT.

Else, if the AuditOperationType log field value is equal to Update, then the metadata.event_type UDM field is set to USER_RESOURCE_UPDATE_CONTENT.
metadata.product_event_type If the AuditOperationType log field value is not empty, then if the AuditOperationType log field value is equal to Create, then the metadata.product_event_type UDM field is set to create.

Else, if the AuditOperationType log field value is equal to Client Session Revoked, then the metadata.product_event_type UDM field is set to client session revoked.

Else, if the AuditOperationType log field value is equal to Delete, then the metadata.product_event_type UDM field is set to delete.

Else, if the AuditOperationType log field value is equal to Download, then the metadata.product_event_type UDM field is set to download.

Else, if the AuditOperationType log field value is equal to Sign In, then the metadata.product_event_type UDM field is set to user_login.

Else, if the AuditOperationType log field value is equal to Sign In Failure, then the metadata.product_event_type UDM field is set to user_login_fail.

Else, if the AuditOperationType log field value is equal to Sign Out, then the metadata.product_event_type UDM field is set to user_logout.

Else, if the AuditOperationType log field value is equal to Update, then the metadata.product_event_type UDM field is set to update.
security_result.action If the AuditOperationType log field value is not empty, then if the AuditOperationType log field value is equal to Client Session Revoked, then the security_result.action UDM field is set to BLOCK.

Else, if the AuditOperationType log field value is equal to Sign In, then the security_result.action UDM field is set to ALLOW.

Else, if the AuditOperationType log field value is equal to Sign In Failure, then the security_result.action UDM field is set to FAIL.
ObjectType target.resource.resource_subtype
ObjectID target.resource.product_object_id
ObjectName target.resource.name
ModifiedTime target.resource.attribute.labels[ModifiedTime]
ModifiedBy principal.user.userid
User principal.user.email_addresses
AuditOldValue additional.fields[AuditOldValue] Iterate through AuditOldValue object: The AuditOldValue object key is mapped to the additional.fields.key UDM field and AuditOldValue object value is mapped to the additional.fields.value UDM field.
AuditNewValue additional.fields[AuditNewValue] Iterate through AuditNewValue object: The AuditNewValue object key is set to the additional.fields.key UDM field and AuditNewValue object value is mapped to the additional.fields.value UDM field.
CustomerID target.user.userid
ClientAuditUpdate additional.fields[ClientAuditUpdate]

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.