收集 Zscaler 互联网访问日志
本文档介绍了如何通过设置 Google 安全运营 Feed 来导出 Zscaler 互联网访问日志,以及日志字段如何映射到 Google SecOps 统一数据模型 (UDM) 字段。
如需了解详情,请参阅将数据提取到 Google SecOps 概览。
典型的部署包括 Zscaler Internet Access 和配置为将日志发送到 Google SecOps 的 Google SecOps Webhook Feed。每个客户部署都可能不同,并且可能更复杂。
该部署包含以下组件:
Zscaler Internet Access:您要从中收集日志的平台。
Google SecOps Feed:Google SecOps Feed 会从 Zscaler Internet Access 提取日志并将日志写入 Google SecOps。
Google SecOps:保留和分析日志。
注入标签标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 ZSCALER_INTERNET_ACCESS
注入标签的解析器。
准备工作
- 确保您有权访问 Zscaler Internet Access 控制台。如需了解详情,请参阅 Secure Internet and SaaS Access ZIA Help。
- 确保您使用的是 Zscaler Internet Access 2024 或更高版本。
- 确保部署架构中的所有系统都使用世界协调时间 (UTC) 时区进行配置。
- 确保您拥有在 Google SecOps 中完成 Feed 设置所需的 API 密钥。如需了解详情,请参阅设置 API 密钥。
在 Google Security Operations 中设置提取 Feed,以提取 Zscaler Internet Access 日志
- 依次前往 SIEM 设置 > Feed。
- 点击新增。
- 在Feed 名称字段中,输入 Feed 的名称(例如 Zscaler Internet Access Logs)。
- 选择 Webhook 作为来源类型。
- 选择 Zscaler Internet Access Audit Logs(Zscaler 互联网访问审核日志)作为日志类型。
- 点击下一步。
- 可选:为以下输入参数输入值:
- 分隔符:用于分隔日志行的分隔符。如果不使用分隔符,请留空。
- 资源命名空间:资源命名空间。
- 提取标签:要应用于此 Feed 中的事件的标签。
- 点击下一步。
- 检查新的 Feed 配置,然后点击提交。
- 点击生成 Secret 密钥以生成用于对此 Feed 进行身份验证的 Secret 密钥。
设置 Zscaler 互联网访问
- 在 Zscaler Internet Access 控制台中,依次点击管理 > Nanolog 流式传输服务 > Cloud NSS Feed,然后点击 Add Cloud NSS Feed(添加 Cloud NSS Feed)。
- 系统随即会显示 Add Cloud NSS Feed 窗口。在 Add Cloud NSS Feed 窗口中,输入详细信息。
- 在Feed 名称字段中输入 Feed 的名称。
- 在 NSS 类型中,选择 NSS for Web。
- 从状态列表中选择状态,以启用或停用 NSS Feed。
- 将 SIEM 速率下拉菜单中的值保留为不受限制。如需因许可或其他限制而抑制输出流,请更改此值。
- 在 SIEM 类型列表中,选择其他。
- 在 OAuth 2.0 Authentication(OAuth 2.0 身份验证)列表中,选择 Disabled(已停用)。
- 在 Max Batch Size(批量大小上限)中,输入单个 HTTP 请求载荷的大小限制,以遵循 SIEM 的最佳实践。例如,512 KB。
在 API 网址中输入 Chronicle API 端点的 HTTPS 网址,格式如下:
https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs
CHRONICLE_REGION
:您的 Chronicle 实例的托管区域。例如,US。GOOGLE_PROJECT_NUMBER
:BYOP 项目编号。从 C4 获取此值。LOCATION
:Chronicle 区域。例如,US。CUSTOMER_ID
:Chronicle 客户 ID。从 C4 获取。FEED_ID
:新创建的 Webhook 的 Feed 界面上显示的 Feed IDAPI 网址示例:
https://us-chronicle.googleapis.com/v1alpha/projects/12345678910/locations/US/instances/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/feeds/yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy:importPushLogs
点击添加 HTTP 标头,以添加包含键和值的更多 HTTP 标头。
例如,标头 1:Key1:X-goog-api-key,Value1: Google Cloud BYOP 的 API 凭据中生成的 API 密钥。
在日志类型列表中选择管理员审核日志。
在 Feed 输出类型列表中,选择 JSON。
将Feed 转义字符设置为
, \ "
。如需向 Feed 输出格式添加新字段,请在 Feed 输出类型列表中选择自定义。
复制并粘贴Feed 输出格式,然后添加新字段。确保键名称与实际字段名称一致。
以下是默认的Feed 输出格式:
\{ "sourcetype" : "zscalernss-audit", "event" :\{"time":"%s{time}","recordid":"%d{recordid}","action":"%s{action}","category":"%s{category}","subcategory":"%s{subcategory}","resource":"%s{resource}","interface":"%s{interface}","adminid":"%s{adminid}","clientip":"%s{clientip}","result":"%s{result}","errorcode":"%s{errorcode}","auditlogtype":"%s{auditlogtype}","preaction":%s{preaction},"postaction":%s{postaction}\}\}
在时区列表中,为输出文件中的 Time 字段选择时区。默认情况下,时区会设置为贵组织的时区。
查看已配置的设置。
点击保存以测试连接。如果连接成功,系统会显示一个绿色对勾标记,以及消息 Test Connectivity Successful: OK (200)。
如需详细了解 Google SecOps Feed,请参阅 Google Security Operations Feed 文档。如需了解每种 Feed 类型的要求,请参阅按类型配置 Feed。
如果您在创建 Feed 时遇到问题,请与 Google 安全运营支持团队联系。
字段映射参考文档
下表列出了 ZSCALER_INTERNET_ACCESS
日志类型的日志字段及其对应的 UDM 字段。
Log field | UDM mapping | Logic |
---|---|---|
|
metadata.event_type |
The metadata.event_type UDM field is set to STATUS_UPDATE . |
|
metadata.product_name |
The metadata.product_name UDM field is set to Admin Audit . |
|
metadata.vendor_name |
The metadata.vendor_name UDM field is set to Zscaler . |
sourcetype |
additional.fields[sourcetype] |
|
time |
metadata.event_timestamp |
|
recordid |
metadata.product_log_id |
|
action |
security_result.action_details |
|
category |
target.security_result.category_details |
|
subcategory |
target.security_result.category_details |
|
resource |
target.resource.name |
|
interface |
principal.resource.attribute.labels[interface] |
|
adminid |
principal.user.userid |
|
clientip |
principal.ip |
|
|
security_result.action |
If the event.result log field value is equal to SUCCESS , then the security_result.action UDM field is set to ALLOW .Else, if the event.result log field value is equal to FAILURE , then the security_result.action UDM field is set to BLOCK . |
errorcode |
security_result.summary |
|
auditlogtype |
additional.fields[auditlogtype] |
|
preaction |
principal.resource.attribute.labels |
Iterate through preaction object: The preaction object key is mapped to the principal.resource.attribute.labels.key UDM field and preaction object value is mapped to the principal.resource.attribute.labels.value UDM field. |
postaction |
principal.resource.attribute.labels |
Iterate through postaction object: The postaction object key is mapped to the principal.resource.attribute.labels.key UDM field and postaction object value is mapped to the principal.resource.attribute.labels.value UDM field. |