Mengumpulkan log Akses Internet Zscaler

Didukung di:

Dokumen ini menjelaskan cara mengekspor log Akses Internet Zscaler dengan menyiapkan feed Google Security Operations dan cara kolom log dipetakan ke kolom Unified Data Model (UDM) Google SecOps.

Untuk mengetahui informasi selengkapnya, lihat Ringkasan penyerapan data ke Google SecOps.

Deployment standar terdiri dari Akses Internet Zscaler dan feed Webhook Google SecOps yang dikonfigurasi untuk mengirim log ke Google SecOps. Setiap deployment pelanggan dapat berbeda dan mungkin lebih kompleks.

Deployment berisi komponen berikut:

  • Zscaler Internet Access: Platform tempat Anda mengumpulkan log.

  • Feed Google SecOps: Feed Google SecOps yang mengambil log dari Zscaler Internet Access dan menulis log ke Google SecOps.

  • Google SecOps: Mempertahankan dan menganalisis log.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label transfer ZSCALER_INTERNET_ACCESS.

Sebelum memulai

  • Pastikan Anda memiliki akses ke konsol Akses Internet Zscaler. Untuk informasi selengkapnya, lihat Bantuan ZIA Akses Internet dan SaaS yang Aman.
  • Pastikan Anda menggunakan Zscaler Internet Access 2024 atau yang lebih baru.
  • Pastikan semua sistem dalam arsitektur deployment dikonfigurasi dengan zona waktu UTC.
  • Pastikan Anda memiliki kunci API yang diperlukan untuk menyelesaikan penyiapan feed di Google SecOps. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan kunci API.

Menyiapkan feed penyerapan di Google Security Operations untuk menyerap log Akses Internet Zscaler

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan baru.
  3. Di kolom Nama feed, masukkan nama untuk feed (misalnya, Log Akses Internet Zscaler).
  4. Pilih Webhook sebagai Jenis Sumber.
  5. Pilih Zscaler Internet Access Audit Logs sebagai Log Type.
  6. Klik Berikutnya.
  7. Opsional: Masukkan nilai untuk parameter input berikut:
    1. Pemisah pemisahan: pemisah yang digunakan untuk memisahkan baris log. Biarkan kosong jika pembatas tidak digunakan.
    2. Namespace aset: namespace aset.
    3. Label penyerapan: label yang akan diterapkan ke peristiwa dari feed ini.
  8. Klik Berikutnya.
  9. Tinjau konfigurasi feed baru Anda, lalu klik Kirim.
  10. Klik Buat Kunci Rahasia untuk membuat kunci rahasia guna mengautentikasi feed ini.

Menyiapkan Akses Internet Zscaler

  1. Di konsol Zscaler Internet Access, klik Administration > Nanolog Streaming Service > Cloud NSS Feeds, lalu klik Add Cloud NSS Feed.
  2. Jendela Add Cloud NSS Feed akan muncul. Di jendela Add Cloud NSS Feed, masukkan detailnya.
  3. Masukkan nama untuk feed di kolom Feed Name.
  4. Pilih NSS for Web di NSS Type.
  5. Pilih status dari daftar Status untuk mengaktifkan atau menonaktifkan feed NSS.
  6. Tetapkan nilai di drop-down SIEM Rate sebagai Unlimited. Untuk menyembunyikan aliran output karena pemberian lisensi atau batasan lainnya, ubah nilainya.
  7. Pilih Lainnya di daftar Jenis SIEM.
  8. Pilih Nonaktif di daftar Autentikasi OAuth 2.0.
  9. Masukkan batas ukuran untuk setiap payload permintaan HTTP ke praktik terbaik SIEM di Max Batch Size. Misalnya, 512 KB.

  10. Masukkan URL HTTPS endpoint Chronicle API di URL API dalam format berikut:

      https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs
    • CHRONICLE_REGION: Region tempat instance Chronicle Anda dihosting. Misalnya, US.
    • GOOGLE_PROJECT_NUMBER: Nomor project BYOP. Dapatkan ini dari C4.
    • LOCATION: Region Chronicle. Misalnya, US.
    • CUSTOMER_ID: ID pelanggan Chronicle. Dapatkan dari C4.
    • FEED_ID: ID feed yang ditampilkan di UI Feed pada webhook baru yang dibuat

    • Contoh URL API:

      https://us-chronicle.googleapis.com/v1alpha/projects/12345678910/locations/US/instances/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/feeds/yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy:importPushLogs

  11. Klik Tambahkan Header HTTP untuk menambahkan header HTTP lainnya dengan kunci dan nilai.

    Misalnya, Header 1: Key1: X-goog-api-key dan Value1: Kunci API yang dibuat di Google Cloud Kredensial API BYOP.

  12. Pilih Admin Audit Logs di daftar Log Types.

  13. Pilih JSON di daftar Jenis Output Feed.

  14. Tetapkan Feed Escape Character ke , \ ".

  15. Untuk menambahkan kolom baru ke Format Output Feed,pilih Kustom di daftar Jenis Output Feed.

  16. Salin-tempel Format Output Feed dan tambahkan kolom baru. Pastikan nama kunci cocok dengan nama kolom yang sebenarnya.

  17. Berikut adalah Format Output Feed default:

      \{ "sourcetype" : "zscalernss-audit", "event" :\{"time":"%s{time}","recordid":"%d{recordid}","action":"%s{action}","category":"%s{category}","subcategory":"%s{subcategory}","resource":"%s{resource}","interface":"%s{interface}","adminid":"%s{adminid}","clientip":"%s{clientip}","result":"%s{result}","errorcode":"%s{errorcode}","auditlogtype":"%s{auditlogtype}","preaction":%s{preaction},"postaction":%s{postaction}\}\}

  18. Pilih zona waktu untuk kolom Time dalam file output di daftar Timezone. Secara default, zona waktu ditetapkan ke zona waktu organisasi Anda.

  19. Tinjau setelan yang dikonfigurasi.

  20. Klik Simpan untuk menguji konektivitas. Jika koneksi berhasil, tanda centang hijau yang disertai pesan Uji Konektivitas Berhasil: OK (200) akan muncul.

Untuk mengetahui informasi selengkapnya tentang feed Google SecOps, lihat dokumentasi feed Google Security Operations. Untuk mengetahui informasi tentang persyaratan untuk setiap jenis feed, lihat Konfigurasi feed menurut jenis.

Jika Anda mengalami masalah saat membuat feed, hubungi dukungan Google Security Operations.

Referensi pemetaan kolom

Tabel berikut mencantumkan kolom log dari jenis log ZSCALER_INTERNET_ACCESS dan kolom UDM yang sesuai.

Log field UDM mapping Logic
metadata.event_type The metadata.event_type UDM field is set to STATUS_UPDATE.
metadata.product_name The metadata.product_name UDM field is set to Admin Audit.
metadata.vendor_name The metadata.vendor_name UDM field is set to Zscaler.
sourcetype additional.fields[sourcetype]
time metadata.event_timestamp
recordid metadata.product_log_id
action security_result.action_details
category target.security_result.category_details
subcategory target.security_result.category_details
resource target.resource.name
interface principal.resource.attribute.labels[interface]
adminid principal.user.userid
clientip principal.ip
security_result.action If the event.result log field value is equal to SUCCESS, then the security_result.action UDM field is set to ALLOW.

Else, if the event.result log field value is equal to FAILURE, then the security_result.action UDM field is set to BLOCK.
errorcode security_result.summary
auditlogtype additional.fields[auditlogtype]
preaction principal.resource.attribute.labels Iterate through preaction object: The preaction object key is mapped to the principal.resource.attribute.labels.key UDM field and preaction object value is mapped to the principal.resource.attribute.labels.value UDM field.
postaction principal.resource.attribute.labels Iterate through postaction object: The postaction object key is mapped to the principal.resource.attribute.labels.key UDM field and postaction object value is mapped to the principal.resource.attribute.labels.value UDM field.