Raccogli gli audit log di Zscaler ZPA
Questo documento spiega come esportare gli audit log Zscaler ZPA configurando l'agente Bindplane e come i campi dei log vengono mappati ai campi del modello di dati unificato (UDM) di Google SecOps.
Per ulteriori informazioni, consulta la panoramica dell'importazione dei dati in Google SecOps.
Un deployment tipico è costituito da Zscaler ZPA Audit e dall'agente Bindplane configurato per inviare i log a Google Security Operations. Ogni implementazione del cliente può essere diversa e potrebbe essere più complessa.
Il deployment contiene i seguenti componenti:
Zscaler ZPA Audit: la piattaforma da cui raccogli i log.
Agente Bindplane: l'agente Bindplane recupera i log da Zscaler ZPA Audit e li invia a Google Security Operations.
Google SecOps: conserva e analizza i log.
Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta ZSCALER_ZPA.
Prima di iniziare
- Assicurati di utilizzare Zscaler ZPA Audit 2024 o versioni successive.
- Assicurati di avere accesso alla console Zscaler Private Access. Per ulteriori informazioni, consulta la guida di Secure Private Access (ZPA).
- Assicurati che tutti i sistemi nell'architettura di deployment siano configurati con il fuso orario UTC.
Configura il ricevitore di log in Zscaler Private Access
Per configurare e gestire Log Receiver in Zscaler Private Access:
Aggiungere un destinatario dei log
- Seleziona Configurazione e controllo > Infrastruttura privata > Servizio di streaming dei log > Ricevitori di log e poi fai clic su Aggiungi ricevitore di log.
- Nella scheda Log Receiver (Apparato di ricezione log), segui questi passaggi:
- Nel campo Nome, inserisci il nome del destinatario dei log.
- Nel campo Descrizione, inserisci una descrizione.
- Nel campo Domain or IP Address (Dominio o indirizzo IP), inserisci il nome di dominio completo (FQDN) o l'indirizzo IP del destinatario dei log.
- Nel campo Porta TCP, inserisci il numero di porta TCP utilizzato dal ricevitore dei log.
- Seleziona il tipo di crittografia in Crittografia TLS per attivare o disattivare la crittografia del traffico tra App Connector e il ricevitore dei log. Per impostazione predefinita, questa impostazione è disattivata.
- Nell'elenco Gruppi di App Connector, scegli i gruppi di App Connector che possono inoltrare i log al destinatario e fai clic su Fine.
- Fai clic su Avanti.
Nella scheda Stream di log, procedi nel seguente modo:
- Seleziona un Tipo di log dal menu.
- Seleziona un modello di log dal menu.
Copia e incolla Log Stream Content (Contenuti stream log) e aggiungi nuovi campi. Assicurati che i nomi delle chiavi corrispondano ai nomi effettivi dei campi.
Di seguito è riportato il contenuto dello stream di log predefinito per il tipo di log di controllo:
{"ModifiedTime":%j{modifiedTime:iso8601},"CreationTime":%j{creationTime:iso8601},"ModifiedBy":%d{modifiedBy},"RequestID":%j{requestId},"SessionID":%j{sessionId},"AuditOldValue":%j{auditOldValue},"AuditNewValue":%j{auditNewValue},"AuditOperationType":%j{auditOperationType},"ObjectType":%j{objectType},"ObjectName":%j{objectName},"ObjectID":%d{objectId},"CustomerID":%d{customerId},"User":%j{modifiedByUser},"ClientAuditUpdate":%d{clientAuditUpdate}}\nIn Attributi SAML, fai clic su Seleziona IdP e seleziona la configurazione dell'IdP da includere nel criterio.
Nel menu Segmenti di applicazione, seleziona i segmenti di applicazione da includere e fai clic su Fine.
Nel menu Gruppi di segmenti, seleziona i gruppi di segmenti da includere e fai clic su Fine.
Nel menu Tipi di client, seleziona i tipi di client da includere e fai clic su Fine.
Nel menu Stati sessione, seleziona i codici di stato della sessione da escludere e fai clic su Fine.
Fai clic su Avanti.
Nella scheda Rivedi, controlla la configurazione del ricevitore dei log e fai clic su Salva.
Nota:l'analizzatore ZSCALER_ZPA_AUDIT Gold supporta solo il formato log JSON, quindi assicurati di selezionare JSON come Modello log dal menu durante la configurazione dello stream di log.
Copiare un destinatario di log
- Seleziona Controllo > Infrastruttura privata > Servizio di streaming dei log > Clienti di log.
- Nella tabella, individua il destinatario dei log da modificare e fai clic su Copia.
- Nella finestra Aggiungi destinatario log, modifica i campi in base alle necessità. Per saperne di più su ciascun campo, consulta la procedura nella sezione Aggiungere un destinatario dei log.
- Fai clic su Salva.
Modificare un destinatario di log
- Seleziona Controllo > Infrastruttura privata > Servizio di streaming dei log > Clienti di log.
- Nella tabella, individua il destinatario dei log da modificare e fai clic su Modifica.
- Nella finestra Modifica destinatario log, modifica i campi in base alle necessità. Per saperne di più su ciascun campo, consulta la procedura nella sezione Aggiungere un destinatario dei log.
- Fai clic su Salva.
Eliminare un destinatario di log
- Seleziona Controllo > Infrastruttura privata > Servizio di streaming dei log > Clienti di log.
- Nella tabella, individua il destinatario dei log da modificare e fai clic su Elimina.
- Nella finestra Conferma, fai clic su Elimina.
Inoltra i log a Google SecOps utilizzando l'agente Bindplane
- Installa e configura una macchina virtuale Linux.
- Installa e configura l'agente Bindplane su Linux per inoltrare i log a Google SecOps. Per ulteriori informazioni su come installare e configurare l'agente Bindplane, consulta le istruzioni di installazione e configurazione dell'agente Bindplane.
Se riscontri problemi durante la creazione dei feed, contatta l'assistenza Google SecOps.
Tabella di mappatura UDM
Riferimento alla mappatura dei campi: ZSCALER_ZPA_AUDIT
La tabella seguente elenca i campi del log del tipo di log ZSCALER_ZPA_AUDIT e i relativi campi UDM.
| Log field | UDM mapping | Logic |
|---|---|---|
|
metadata.product_name |
The metadata.product_name UDM field is set to ZPA Audit. |
|
metadata.vendor_name |
The metadata.vendor_name UDM field is set to Zscaler. |
CreationTime |
metadata.event_timestamp |
|
RequestID |
metadata.product_log_id |
|
SessionID |
network.session_id |
|
|
metadata.event_type |
If the AuditOperationType log field value is not empty, then if the AuditOperationType log field value is equal to Create, then the metadata.event_type UDM field is set to RESOURCE_CREATION.Else, if the AuditOperationType log field value is equal to Client Session Revoked, then the metadata.event_type UDM field is set to USER_LOGOUT.Else, if the AuditOperationType log field value is equal to Delete, then the metadata.event_type UDM field is set to RESOURCE_DELETION.Else, if the AuditOperationType log field value is equal to Download, then the metadata.event_type UDM field is set to USER_RESOURCE_ACCESS.Else, if the AuditOperationType log field value is equal to Sign In, then the metadata.event_type UDM field is set to USER_LOGIN.Else, if the AuditOperationType log field value is equal to Sign In Failure, then the metadata.event_type UDM field is set to USER_LOGIN.Else, if the AuditOperationType log field value is equal to Sign Out, then the metadata.event_type UDM field is set to USER_LOGOUT.Else, if the AuditOperationType log field value is equal to Update, then the metadata.event_type UDM field is set to USER_RESOURCE_UPDATE_CONTENT. |
|
metadata.product_event_type |
If the AuditOperationType log field value is not empty, then if the AuditOperationType log field value is equal to Create, then the metadata.product_event_type UDM field is set to create.Else, if the AuditOperationType log field value is equal to Client Session Revoked, then the metadata.product_event_type UDM field is set to client session revoked.Else, if the AuditOperationType log field value is equal to Delete, then the metadata.product_event_type UDM field is set to delete.Else, if the AuditOperationType log field value is equal to Download, then the metadata.product_event_type UDM field is set to download.Else, if the AuditOperationType log field value is equal to Sign In, then the metadata.product_event_type UDM field is set to user_login.Else, if the AuditOperationType log field value is equal to Sign In Failure, then the metadata.product_event_type UDM field is set to user_login_fail.Else, if the AuditOperationType log field value is equal to Sign Out, then the metadata.product_event_type UDM field is set to user_logout.Else, if the AuditOperationType log field value is equal to Update, then the metadata.product_event_type UDM field is set to update. |
|
security_result.action |
If the AuditOperationType log field value is not empty, then if the AuditOperationType log field value is equal to Client Session Revoked, then the security_result.action UDM field is set to BLOCK.Else, if the AuditOperationType log field value is equal to Sign In, then the security_result.action UDM field is set to ALLOW.Else, if the AuditOperationType log field value is equal to Sign In Failure, then the security_result.action UDM field is set to FAIL. |
ObjectType |
target.resource.resource_subtype |
|
ObjectID |
target.resource.product_object_id |
|
ObjectName |
target.resource.name |
|
ModifiedTime |
target.resource.attribute.labels[ModifiedTime] |
|
ModifiedBy |
principal.user.userid |
|
User |
principal.user.email_addresses |
|
AuditOldValue |
additional.fields[AuditOldValue] |
Iterate through AuditOldValue object: The AuditOldValue object key is mapped to the additional.fields.key UDM field and AuditOldValue object value is mapped to the additional.fields.value UDM field. |
AuditNewValue |
additional.fields[AuditNewValue] |
Iterate through AuditNewValue object: The AuditNewValue object key is set to the additional.fields.key UDM field and AuditNewValue object value is mapped to the additional.fields.value UDM field. |
CustomerID |
target.user.userid |
|
ClientAuditUpdate |
additional.fields[ClientAuditUpdate] |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.