Recopila registros del firewall de Zscaler

Compatible con:

En este documento, se describe cómo puedes configurar un feed de Google Security Operations para exportar registros del firewall de Zscaler y cómo se asignan los campos de registro a los campos del modelo de datos unificados (UDM) de Google SecOps.

Para obtener más información, consulta la descripción general de la transferencia de datos a Google SecOps.

Una implementación típica consta del firewall de Zscaler y el feed de webhook de Google SecOps configurado para enviar registros a Google SecOps. Cada implementación de cliente puede diferir y ser más compleja.

La implementación contiene los siguientes componentes:

  • Firewall de Zscaler: Es la plataforma desde la que recopilas registros.

  • Feed de Google SecOps: Es el feed de Google SecOps que recupera registros del firewall de Zscaler y escribe registros en Google SecOps.

  • Google SecOps: Retiene y analiza los registros.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado del UDM. La información de este documento se aplica al analizador con la etiqueta de transferencia ZSCALER_FIREWALL.

Antes de comenzar

  • Asegúrate de tener acceso a la consola de acceso a Internet de Zscaler. Para obtener más información, consulta la Ayuda de ZIA de acceso seguro a Internet y SaaS.
  • Asegúrate de usar el firewall de Zscaler 2024 o una versión posterior.
  • Asegúrate de que todos los sistemas de la arquitectura de implementación estén configurados con la zona horaria UTC.
  • Asegúrate de tener la clave de API necesaria para completar la configuración del feed en Google SecOps. Para obtener más información, consulta Configura claves de API.

Configura un feed de transferencia en Google SecOps para transferir registros de firewall de Zscaler

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar nueva.
  3. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Registros de firewall de Zscaler).
  4. Selecciona Webhook como el Tipo de origen.
  5. Selecciona ZScaler NGFW como el Tipo de registro.
  6. Haz clic en Siguiente.
  7. Opcional: Ingresa valores para los siguientes parámetros de entrada:
    1. Delimitador de división: Es el delimitador que se usa para separar las líneas de registro. Deja el campo en blanco si no se usa un delimitador.
    2. Espacio de nombres del activo: Es el espacio de nombres del activo.
    3. Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.
  8. Haz clic en Siguiente.
  9. Revisa la configuración del nuevo feed y, luego, haz clic en Enviar.
  10. Haz clic en Generate Secret Key para generar una clave secreta que autentique este feed.

Configura el firewall de Zscaler

  1. En la consola de acceso a Internet de Zscaler, haz clic en Administración > Servicio de transmisión de Nanolog > Feeds de NSS en la nube y, luego, en Agregar feed de NSS en la nube.
  2. Aparecerá la ventana Add Cloud NSS Feed. En la ventana Add Cloud NSS Feed, ingresa los detalles.
  3. Ingresa un nombre para el feed en el campo Nombre del feed.
  4. Selecciona NSS para firewall en Tipo de NSS.
  5. Selecciona el estado de la lista Estado para activar o desactivar el feed de NSS.
  6. Mantén el valor en el menú desplegable SIEM Rate como Unlimited. Para suprimir el flujo de salida debido a licencias o a otras restricciones, cambia el valor.
  7. Selecciona Otro en la lista Tipo de SIEM.
  8. Selecciona Disabled en la lista OAuth 2.0 Authentication.
  9. Ingresa un límite de tamaño para una carga útil de solicitud HTTP individual en las prácticas recomendadas de SIEM en Max Batch Size. Por ejemplo, 512 KB.

  10. Ingresa la URL HTTPS del extremo de API de Chronicle en la URL de la API con el siguiente formato:

      https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs
    • CHRONICLE_REGION: Es la región en la que se aloja tu instancia de Chronicle. Por ejemplo, EE.UU.
    • GOOGLE_PROJECT_NUMBER: Es el número de proyecto de BYOP. Obtén esta información de C4.
    • LOCATION: Región de Chronicle. Por ejemplo, EE.UU.
    • CUSTOMER_ID: ID de cliente de Chronicle. Obtener de C4
    • FEED_ID: Es el ID del feed que se muestra en la IU del feed en el nuevo webhook creado.
    • URL de API de muestra:
    https://us-chronicle.googleapis.com/v1alpha/projects/12345678910/locations/US/instances/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/feeds/yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy:importPushLogs

  11. Haz clic en Agregar encabezado HTTP y, luego, agrega los encabezados HTTP en el siguiente formato:

    • Header 1: Key1: X-goog-api-key y Value1: Clave de API generada en las credenciales de la API de Google Cloud BYOP.
    • Header 2: Clave2: X-Webhook-Access-Key y Valor2: clave secreta de la API generada en "CLAVE SECRETA" del webhook.

  12. Selecciona Registros de firewall en la lista Tipos de registro.

  13. Selecciona JSON en la lista Tipo de salida del feed.

  14. Establece el carácter de escape del feed en , \ ".

  15. Para agregar un campo nuevo al Formato de salida del feed, selecciona Personalizado en la lista Tipo de salida del feed.

  16. Copia y pega el Formato de salida del feed y agrega campos nuevos. Asegúrate de que los nombres de las claves coincidan con los nombres de los campos reales.

  17. A continuación, se muestra el formato de salida del feed predeterminado:

      \{ "sourcetype" : "zscalernss-fw", "event" :\{"datetime":"%s{time}","user":"%s{elogin}","department":"%s{edepartment}","locationname":"%s{elocation}","cdport":"%d{cdport}","csport":"%d{csport}","sdport":"%d{sdport}","ssport":"%d{ssport}","csip":"%s{csip}","cdip":"%s{cdip}","ssip":"%s{ssip}","sdip":"%s{sdip}","tsip":"%s{tsip}","tunsport":"%d{tsport}","tuntype":"%s{ttype}","action":"%s{action}","dnat":"%s{dnat}","stateful":"%s{stateful}","aggregate":"%s{aggregate}","nwsvc":"%s{nwsvc}","nwapp":"%s{nwapp}","proto":"%s{ipproto}","ipcat":"%s{ipcat}","destcountry":"%s{destcountry}","avgduration":"%d{avgduration}","rulelabel":"%s{erulelabel}","inbytes":"%ld{inbytes}","outbytes":"%ld{outbytes}","duration":"%d{duration}","durationms":"%d{durationms}","numsessions":"%d{numsessions}","ipsrulelabel":"%s{ipsrulelabel}","threatcat":"%s{threatcat}","threatname":"%s{ethreatname}","deviceowner":"%s{deviceowner}","devicehostname":"%s{devicehostname}"\}\}

  18. Selecciona la zona horaria para el campo Time en el archivo de salida en la lista Timezone. De forma predeterminada, la zona horaria se establece en la de tu organización.

  19. Revisa la configuración establecida.

  20. Haz clic en Guardar para probar la conectividad. Si la conexión se realiza correctamente, aparecerá una marca de verificación verde acompañada del mensaje Test Connectivity Successful: OK (200).

Para obtener más información sobre los feeds de Google SecOps, consulta la documentación de los feeds de Google SecOps. Para obtener información sobre los requisitos de cada tipo de feed, consulta Configuración de feeds por tipo.

Si tienes problemas cuando creas feeds, comunícate con el equipo de asistencia de SecOps de Google.

Formatos de registro de firewall de Zscaler compatibles

El analizador de firewall de Zscaler admite registros en formato JSON.

Registros de muestra de firewall de Zscaler admitidos

  • JSON:

    {
  "sourcetype": "zscalernss-fw",
  "event": {
    "datetime": "Tue Apr 11 00:44:01 2023",
    "user": "abc@test.com",
    "department": "Optum%20Tech%20UHC%20Technology",
    "locationname": "Road%20Warrior",
    "cdport": "443",
    "csport": "50407",
    "sdport": "443",
    "ssport": "36223",
    "csip": "198.51.100.8",
    "cdip": "198.51.100.7",
    "ssip": "198.51.100.9",
    "sdip": "198.51.100.10",
    "tsip": "198.51.100.11",
    "tunsport": "0",
    "tuntype": "ZscalerClientConnector",
    "action": "Allow",
    "dnat": "No",
    "stateful": "Yes",
    "aggregate": "Yes",
    "nwsvc": "ZSCALER_PROXY_NW_SERVICES",
    "nwapp": "sharepoint_document",
    "proto": "TCP",
    "ipcat": "Miscellaneous or Unknown",
    "destcountry": "Other",
    "avgduration": "239296",
    "rulelabel": "Default%20Firewall%20Filtering%20Rule",
    "inbytes": "286134",
    "outbytes": "515005",
    "duration": "6461",
    "durationms": "6461000",
    "numsessions": "27",
    "ipsrulelabel": "None",
    "threatcat": "None",
    "threatname": "None",
    "deviceowner": "dummydeviceowner",
    "devicehostname": "dummyhostname"
  }
}

Referencia de la asignación de campos

En la siguiente tabla, se enumeran los campos de registro del tipo de registro ZSCALER_FIREWALL y sus campos de UDM correspondientes.

Log field UDM mapping Logic
intermediary.resource.resource_type If the fwd_gw_name log field value is not empty or the ofwd_gw_name log field value is not empty, then the intermediary.resource.resource_type UDM field is set to GATEWAY.
metadata.event_type If the sdport log field value is equal to 80 or the sdport log field value is equal to 443 and the csip log field value is not empty or the tsip log field value is not empty or the ssip log field value is not empty and the cdip log field value is not empty or the sdip log field value is not empty, then the metadata.event_type UDM field is set to NETWORK_HTTP.

Else, if the csip log field value is not empty or the tsip log field value is not empty or the ssip log field value is not empty and the cdip log field value is not empty or the sdip log field value is not empty, then the metadata.event_type UDM field is set to NETWORK_CONNECTION.

Else, if the csip log field value is not empty or the tsip log field value is not empty or the ssip log field value is not empty, then the metadata.event_type UDM field is set to STATUS_UPDATE.

Else, the metadata.event_type UDM field is set to GENERIC_EVENT.
metadata.product_name The metadata.product_name UDM field is set to Firewall.
metadata.vendor_name The metadata.vendor_name UDM field is set to Zscaler.
principal.asset.asset_id If the devicename log field value is not empty, then the Zscaler:devicename log field is mapped to the principal.asset.asset_id UDM field.
principal.asset.platform_software.platform If the deviceostype log field value matches the regular expression pattern (?i)iOS, then the principal.asset.platform_software.platform UDM field is set to IOS.

Else, if the deviceostype log field value matches the regular expression pattern (?i)Android, then the principal.asset.platform_software.platform UDM field is set to ANDROID.

Else, if the deviceostype log field value matches the regular expression pattern (?i)Windows, then the principal.asset.platform_software.platform UDM field is set to WINDOWS.

Else, if the deviceostype log field value matches the regular expression pattern (?i)MAC, then the principal.asset.platform_software.platform UDM field is set to MAC.

Else, if the deviceostype log field value matches the regular expression pattern (?i)Other, then the principal.asset.platform_software.platform UDM field is set to UNKNOWN_PLATFORM.
security_result.action If the action log field value matches the regular expression pattern ^Allow.*, then the security_result.action UDM field is set to ALLOW.

Else, if the action log field value matches the regular expression pattern ^Drop.* or ^Block.*, then the security_result.action UDM field is set to BLOCK.

Else, if the action log field value is equal to Reset, then the security_result.action UDM field is set to BLOCK.
security_result.severity If the threat_severity log field value is one of the following: CRITICAL, HIGH, MEDIUM, LOW, NONE then, the threat_severity log field is mapped to the security_result.severity UDM field.
Else, if the threat_score log field value is equal to 0 then, the security_result.severity UDM field is set to NONE. Else, if threat_score log field value > 0 and the threat_score log field value <= 45 then, the security_result.severity UDM field is set to LOW. Else, if threat_score log field value > 45 and the threat_score log field value < 75 then, the security_result.severity UDM field is set to MEDIUM. Else, if threat_score log field value >= 75 and the threat_score log field value < 90 then, the security_result.severity UDM field is set to HIGH. Else, if threat_score log field value >= 90 and the threat_score log field value <= 100 then, the security_result.severity UDM field is set to CRITICAL.
security_result.severity_details If the threat_score log field value is not empty and the threat_severity log field value is not empty then, %{threat_score} - %{threat_severity} log field is mapped to the security_result.severity_details UDM field.
Else, if threat_severity log field value is not empty then, threat_severity log field is mapped to the security_result.severity_details UDM field.
Else, if threat_score log field value is not empty then, threat_score log field is mapped to the security_result.severity_details UDM field.
security_result.category If the ipcat log field value is not empty or the oipcat log field value is not empty, then the security_result.category UDM field is set to NETWORK_CATEGORIZED_CONTENT.
security_result.detection_fields[bypassed_session] If the bypassed_session log field value is equal to 0, then the security_result.detection_fields.bypassed_session UDM field is set to the traffic did not bypass Zscaler Client Connector.

Else, if the bypassed_session log field value is equal to 1, then the security_result.detection_fields.bypassed_session UDM field is set to the traffic bypassed Zscaler Client Connector.
security_result.rule_labels [ips_custom_signature] If the ips_custom_signature log field value is equal to 0, then the security_result.rule_labels.ips_custom_signature UDM field is set to non-custom IPS rule.

Else, if the ips_custom_signature log field value is equal to 1, then the security_result.rule_labels.ips_custom_signature UDM field is set to custom IPS rule.
action security_result.action_details
aggregate additional.fields[aggregate]
avgduration network.session_duration.nanos If the durationms log field value is empty and the avgduration log field value is not empty, then the avgduration log field is mapped to the network.session_duration.nanos UDM field.
bypass_etime metadata.collected_timestamp
cdfqdn target.domain.name
cdip target.nat_ip
cdport target.nat_port
csip principal.ip
csport principal.port
datacenter target.location.name
datacentercity target.location.city
datacentercountry target.location.country_or_region
datetime metadata.event_timestamp
day additional.fields[day]
dd additional.fields[dd]
department principal.user.department
dept principal.user.department
destcountry target.location.country_or_region
deviceappversion additional.fields[deviceappversion]
devicehostname principal.asset.hostname If the devicehostname log field value is not empty, then the devicehostname log field is mapped to the principal.asset.hostname UDM field.
devicemodel principal.asset.hardware.model
deviceosversion principal.asset.platform_software.platform_version
deviceowner principal.user.userid
dnat target.security_result.rule_labels[dnat]
dnatrulelabel target.security_result.rule_name
duration network.session_duration.seconds
durationms network.session_duration.nanos If the durationms log field value is not empty, then the durationms log field is mapped to the network.session_duration.nanos UDM field.
eedone additional.fields[eedone]
epochtime metadata.event_timestamp
erulelabel intermediary.security_result.rule_name
ethreatname security_result.threat_name If the ethreatname log field value is not equal to None, then the ethreatname log field is mapped to the security_result.threat_name UDM field.
external_deviceid principal.asset.product_object_id
flow_type additional.fields[flow_type]
fwd_gw_name intermediary.resource.name
hh additional.fields[hh]
inbytes network.received_bytes
ipcat security_result.category_details The ipcat log field is mapped to the security_result.category_details UDM field.
ipsrulelabel security_result.rule_name If the ipsrulelabel log field value is not equal to None, then the ipsrulelabel log field is mapped to the security_result.rule_name UDM field.
location principal.location.name
locationname principal.location.name
login principal.user.email_addresses The login field is extracted from login log field using the Grok pattern, and the login log field is mapped to the principal.user.email_addresses UDM field.
mm additional.fields[mm]
mon additional.fields[mon]
mth additional.fields[mth]
numsessions security_result.detection_fields[numsessions]
nwapp target.application
nwsvc additional.fields[nwsvc]
ocsip additional.fields[ocsip]
odevicehostname security_result.detection_fields[odevicehostname]
odevicename security_result.detection_fields[odevicename]
odeviceowner security_result.detection_fields[odeviceowner]
odnatlabel target.security_result.detection_fields[odnatlabel]
ofwd_gw_name intermediary.security_result.detection_fields[ofwd_gw_name]
oipcat security_result.detection_fields[oipcat]
oipsrulelabel security_result.detection_fields[oipsrulelabel]
ordr_rulename intermediary.security_result.detection_fields[ordr_rulename]
orulelabel intermediary.security_result.detection_fields[orulelabel]
outbytes network.sent_bytes
ozpa_app_seg_name additional.fields[ozpa_app_seg_name]
proto network.ip_protocol If the proto log field value contain one of the following values, then the proto log field is mapped to the network.ip_protocol UDM field.
  • TCP
  • UDP
  • ICMP
  • GRE
  • IP6IN4
  • IGMP
rdr_rulename intermediary.security_result.rule_name
recordid metadata.product_log_id
rulelabel intermediary.security_result.rule_name
sdip target.ip
sdport target.port
sourcetype additional.fields[sourcetype]
srcip_country principal.location.country_or_region
ss additional.fields[ss]
ssip principal.nat_ip
ssport principal.nat_port
stateful additional.fields[stateful]
threatcat security_result.category_details If the threatcat log field value is not equal to None, then the threatcat log field is mapped to the security_result.category_details UDM field.
threatname security_result.threat_name If the threatname log field value is not equal to None, then the threatname log field is mapped to the security_result.threat_name UDM field.
tsip principal.ip
tunsport additional.fields[tunsport]
tuntype additional.fields[traffic_forwarding_method]
tz additional.fields[tz]
user principal.user.email_addresses The user field is extracted from user log field using the Grok pattern, and the user log field is mapped to the principal.user.email_addresses UDM field.
yyyy additional.fields[yyyy]
zpa_app_seg_name additional.fields[zpa_app_seg_name]
ztunnelversion additional.fields[ztunnelversion]

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.