此页面由 Cloud Translation API 翻译。

收集 Zscaler ZPA 审核日志

支持的语言：

Google SecOps SIEM

本文档介绍了如何通过设置 Bindplane 代理导出 Zscaler ZPA 审核日志，以及日志字段如何映射到 Google SecOps Unified Data Model (UDM) 字段。

如需了解详情，请参阅 Google SecOps 数据提取概览。

典型部署包括 Zscaler ZPA Audit 和配置为将日志发送到 Google Security Operations 的 Bindplane 代理。每个客户部署都可能有所不同，并且可能更复杂。

部署包含以下组件：

Zscaler ZPA 审核：您从中收集日志的平台。
Bindplane 代理：Bindplane 代理从 Zscaler ZPA Audit 中提取日志，并将日志发送到 Google Security Operations。
Google SecOps：保留并分析日志。

注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 ZSCALER_ZPA_AUDIT 标签的解析器。

准备工作

确保您使用的是 Zscaler ZPA Audit 2024 或更高版本。
确保您有权访问 Zscaler Private Access 控制台。如需了解详情，请参阅 Secure Private Access (ZPA) 帮助。
确保部署架构中的所有系统都使用世界协调时间 (UTC) 时区进行配置。

在 Zscaler Private Access 中配置日志接收器

请按照以下步骤在 Zscaler Private Access 中配置和管理日志接收器：

添加日志接收器

依次选择配置和控制 > 专用基础架构 > 日志流式传输服务 > 日志接收器，然后点击添加日志接收器。
在日志接收器标签页中，执行以下操作：
1. 在名称字段中，输入日志接收器的名称。
2. 在说明字段中，输入说明。
3. 在网域或 IP 地址字段中，输入日志接收器的完全限定域名 (FQDN) 或 IP 地址。
4. 在 TCP 端口字段中，输入日志接收器使用的 TCP 端口号。
5. 在 TLS 加密中选择加密类型，以启用或停用应用连接器与日志接收器之间的流量加密。默认情况下，此设置处于停用状态。
6. 在 App 连接器群组列表中，选择可将日志转发到接收器的 App 连接器群组，然后点击完成。
7. 点击下一步。
在日志流标签页中，执行以下操作：
1. 从菜单中选择日志类型。
2. 从菜单中选择日志模板。
3. 复制粘贴日志流内容并添加新字段。确保键名与实际字段名称一致。
  
  以下是审核日志类型的默认日志流内容：
```
{"ModifiedTime":%j{modifiedTime:iso8601},"CreationTime":%j{creationTime:iso8601},"ModifiedBy":%d{modifiedBy},"RequestID":%j{requestId},"SessionID":%j{sessionId},"AuditOldValue":%j{auditOldValue},"AuditNewValue":%j{auditNewValue},"AuditOperationType":%j{auditOperationType},"ObjectType":%j{objectType},"ObjectName":%j{objectName},"ObjectID":%d{objectId},"CustomerID":%d{customerId},"User":%j{modifiedByUser},"ClientAuditUpdate":%d{clientAuditUpdate}}\n
```
4. 在 SAML 属性中，点击选择 IdP，然后选择要包含在政策中的 IdP 配置。
5. 在应用细分菜单中，选择要添加的应用细分，然后点击完成。
6. 在细分群组菜单中，选择要添加的细分群组，然后点击完成。
7. 在客户端类型菜单中，选择要纳入的客户端类型，然后点击完成。
8. 在会话状态菜单中，选择要排除的会话状态代码，然后点击完成。
9. 点击下一步。
在检查标签页中，检查您的日志接收器配置，然后点击保存。

注意：ZSCALER_ZPA_AUDIT Gold 解析器仅支持 JSON 日志格式，因此在配置日志数据流时，请务必从菜单中选择 JSON 作为日志模板。

复制日志接收器

依次选择控制 > 私有基础架构 > 日志流式传输服务 > 日志接收器。
在表格中，找到要修改的日志接收器，然后点击复制。
在添加日志接收器窗口中，根据需要修改字段。如需详细了解每个字段，请参阅添加日志接收器部分中的步骤。
点击保存。

修改日志接收器

依次选择控制 > 私有基础架构 > 日志流式传输服务 > 日志接收器。
在表格中，找到要修改的日志接收器，然后点击修改。
在修改日志接收器窗口中，根据需要修改字段。如需详细了解每个字段，请参阅添加日志接收器部分中的步骤。
点击保存。

删除日志接收器

依次选择控制 > 私有基础架构 > 日志流式传输服务 > 日志接收器。
在表格中，找到要修改的日志接收器，然后点击删除。
在确认窗口中，点击删除。

使用 Bindplane 代理将日志转发到 Google SecOps

安装并设置 Linux 虚拟机。
在 Linux 上安装和配置 Bindplane 代理，以将日志转发到 Google SecOps。如需详细了解如何安装和配置 Bindplane 代理，请参阅 Bindplane 代理安装和配置说明。

如果您在创建 Feed 时遇到问题，请与 Google SecOps 支持团队联系。

支持的 Zscaler ZPA 审核日志格式

Zscaler ZPA 审核解析器支持 JSON 格式的日志。

支持的 Zscaler ZPA 审核日志示例

JSON：

{
  "ModifiedTime": "",
  "CreationTime": "2024-06-29T05:06:34.000Z",
  "ModifiedBy": 216193796315021769,
  "RequestID": "ed500dfb-c66d-4ec2-b97e-ec2018c811f4",
  "SessionID": "v2t27ixe6qs21cffpzy6jx1zv",
  "AuditOldValue": "",
  "AuditNewValue": "{\\"loginAttempt\\":\\"2024-06-29 05: 06: 34 UTC\\",\\"remoteIP\\":\\"198.51.100.0\\"}",
  "AuditOperationType": "Sign In",
  "ObjectType": "Authentication",
  "ObjectName": "",
  "ObjectID": 0,
  "CustomerID": dummy_customer_id,
  "User": "abc.xyz.com",
  "ClientAuditUpdate": 0
}

UDM 映射表

字段映射参考信息：ZSCALER_ZPA_AUDIT

下表列出了 ZSCALER_ZPA_AUDIT 日志类型的日志字段及其对应的 UDM 字段。

Log field	UDM mapping	Logic
	`metadata.product_name`	The `metadata.product_name` UDM field is set to `ZPA Audit`.
	`metadata.vendor_name`	The `metadata.vendor_name` UDM field is set to `Zscaler`.
`CreationTime`	`metadata.event_timestamp`
`RequestID`	`metadata.product_log_id`
`SessionID`	`network.session_id`
	`metadata.event_type`	If the `AuditOperationType` log field value is not empty, then if the `AuditOperationType` log field value is equal to `Create`, then the `metadata.event_type` UDM field is set to `RESOURCE_CREATION`. Else, if the `AuditOperationType` log field value is equal to `Client Session Revoked`, then the `metadata.event_type` UDM field is set to `USER_LOGOUT`. Else, if the `AuditOperationType` log field value is equal to `Delete`, then the `metadata.event_type` UDM field is set to `RESOURCE_DELETION`. Else, if the `AuditOperationType` log field value is equal to `Download`, then the `metadata.event_type` UDM field is set to `USER_RESOURCE_ACCESS`. Else, if the `AuditOperationType` log field value is equal to `Sign In`, then the `metadata.event_type` UDM field is set to `USER_LOGIN`. Else, if the `AuditOperationType` log field value is equal to `Sign In Failure`, then the `metadata.event_type` UDM field is set to `USER_LOGIN`. Else, if the `AuditOperationType` log field value is equal to `Sign Out`, then the `metadata.event_type` UDM field is set to `USER_LOGOUT`. Else, if the `AuditOperationType` log field value is equal to `Update`, then the `metadata.event_type` UDM field is set to `USER_RESOURCE_UPDATE_CONTENT`.
	`metadata.product_event_type`	If the `AuditOperationType` log field value is not empty, then if the `AuditOperationType` log field value is equal to `Create`, then the `metadata.product_event_type` UDM field is set to `create`. Else, if the `AuditOperationType` log field value is equal to `Client Session Revoked`, then the `metadata.product_event_type` UDM field is set to `client session revoked`. Else, if the `AuditOperationType` log field value is equal to `Delete`, then the `metadata.product_event_type` UDM field is set to `delete`. Else, if the `AuditOperationType` log field value is equal to `Download`, then the `metadata.product_event_type` UDM field is set to `download`. Else, if the `AuditOperationType` log field value is equal to `Sign In`, then the `metadata.product_event_type` UDM field is set to `user_login`. Else, if the `AuditOperationType` log field value is equal to `Sign In Failure`, then the `metadata.product_event_type` UDM field is set to `user_login_fail`. Else, if the `AuditOperationType` log field value is equal to `Sign Out`, then the `metadata.product_event_type` UDM field is set to `user_logout`. Else, if the `AuditOperationType` log field value is equal to `Update`, then the `metadata.product_event_type` UDM field is set to `update`.
	`security_result.action`	If the `AuditOperationType` log field value is not empty, then if the `AuditOperationType` log field value is equal to `Client Session Revoked`, then the `security_result.action` UDM field is set to `BLOCK`. Else, if the `AuditOperationType` log field value is equal to `Sign In`, then the `security_result.action` UDM field is set to `ALLOW`. Else, if the `AuditOperationType` log field value is equal to `Sign In Failure`, then the `security_result.action` UDM field is set to `FAIL`.
`ObjectType`	`target.resource.resource_subtype`
`ObjectID`	`target.resource.product_object_id`
`ObjectName`	`target.resource.name`
`ModifiedTime`	`target.resource.attribute.labels[ModifiedTime]`
`ModifiedBy`	`principal.user.userid`
`User`	`principal.user.email_addresses`
`AuditOldValue`	`additional.fields[AuditOldValue]`	Iterate through AuditOldValue object: The `AuditOldValue object key` is mapped to the `additional.fields.key` UDM field and `AuditOldValue object value` is mapped to the `additional.fields.value` UDM field.
`AuditNewValue`	`additional.fields[AuditNewValue]`	Iterate through AuditNewValue object: The `AuditNewValue object key` is set to the `additional.fields.key` UDM field and `AuditNewValue object value` is mapped to the `additional.fields.value` UDM field.
`CustomerID`	`target.user.userid`
`ClientAuditUpdate`	`additional.fields[ClientAuditUpdate]`