Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de auditoría de ZPA de Zscaler

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo exportar los registros de auditoría de ZPA de Zscaler configurando el agente de Bindplane y cómo los campos de registro se asignan a los campos del modelo de datos unificado (UDM) de Google SecOps.

Para obtener más información, consulta la descripción general de la transferencia de datos a Google SecOps.

Una implementación típica consta de Zscaler ZPA Audit y el agente de Bindplane configurado para enviar registros a Google Security Operations. Cada implementación de cliente puede diferir y ser más compleja.

La implementación contiene los siguientes componentes:

Auditoría de ZPA de Zscaler: Es la plataforma desde la que recopilas registros.
Agente de Bindplane: El agente de Bindplane recupera registros de la auditoría de ZPA de Zscaler y los envía a Google Security Operations.
Google SecOps: Retiene y analiza los registros.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado del UDM. La información de este documento se aplica al analizador con la etiqueta ZSCALER_ZPA.

Antes de comenzar

Asegúrate de usar Zscaler ZPA Audit 2024 o una versión posterior.
Asegúrate de tener acceso a la consola de Zscaler Private Access. Para obtener más información, consulta la Ayuda de Acceso privado seguro (ZPA).
Asegúrate de que todos los sistemas de la arquitectura de implementación estén configurados con la zona horaria UTC.

Configura el receptor de registros en Zscaler Private Access

Sigue estos pasos para configurar y administrar el Receptor de registros en Zscaler Private Access:

Agrega un receptor de registros

Selecciona Configuración y control > Infraestructura privada > Servicio de transmisión de registros > Reciepidores de registros y, luego, haz clic en Agregar receptor de registros.
En la pestaña Log Receiver, haz lo siguiente:
1. En el campo Nombre, ingresa el nombre del receptor de registros.
2. En el campo Descripción, ingresa una descripción.
3. En el campo Domain or IP Address, ingresa el nombre de dominio completamente calificado (FQDN) o la dirección IP del receptor de registros.
4. En el campo Puerto TCP, ingresa el número de puerto TCP que usa el receptor de registros.
5. Selecciona el tipo de encriptación en Encriptación TLS para habilitar o inhabilitar la encriptación del tráfico entre el conector de aplicaciones y el receptor de registros. De forma predeterminada, este parámetro de configuración está inhabilitado.
6. En la lista Grupos de App Connector, elige los grupos de App Connector que pueden reenviar registros al receptor y haz clic en Listo.
7. Haz clic en Siguiente.
En la pestaña Log Stream, haz lo siguiente:
1. Selecciona un Tipo de registro en el menú.
2. Selecciona una plantilla de registro en el menú.
3. Copia y pega el contenido del flujo de registros y agrega campos nuevos. Asegúrate de que los nombres de las claves coincidan con los nombres de los campos reales.
  
  El siguiente es el contenido del flujo de registros predeterminado para el tipo de registro de auditoría:
```
{"ModifiedTime":%j{modifiedTime:iso8601},"CreationTime":%j{creationTime:iso8601},"ModifiedBy":%d{modifiedBy},"RequestID":%j{requestId},"SessionID":%j{sessionId},"AuditOldValue":%j{auditOldValue},"AuditNewValue":%j{auditNewValue},"AuditOperationType":%j{auditOperationType},"ObjectType":%j{objectType},"ObjectName":%j{objectName},"ObjectID":%d{objectId},"CustomerID":%d{customerId},"User":%j{modifiedByUser},"ClientAuditUpdate":%d{clientAuditUpdate}}\n
```
4. En Atributos de SAML, haz clic en Seleccionar IdP y selecciona la configuración de IdP que deseas incluir en la política.
5. En el menú Segmentos de aplicación, selecciona los segmentos de aplicación que deseas incluir y haz clic en Listo.
6. En el menú Grupos de segmentos, selecciona los grupos de segmentos que deseas incluir y haz clic en Listo.
7. En el menú Client Types, selecciona los tipos de clientes que deseas incluir y haz clic en Done.
8. En el menú Estados de la sesión, selecciona los códigos de estado de la sesión que deseas excluir y haz clic en Listo.
9. Haz clic en Siguiente.
En la pestaña Revisar, revisa la configuración del receptor de registros y haz clic en Guardar.

Nota: El analizador Gold de ZSCALER_ZPA_AUDIT solo admite el formato de registro JSON. Por lo tanto, asegúrate de seleccionar JSON como Plantilla de registro en el menú mientras configuras el flujo de registros.

Cómo copiar un receptor de registro

Selecciona Control > Infraestructura privada > Servicio de transmisión de registros > Receptores de registros.
En la tabla, busca el receptor de registros que deseas modificar y haz clic en Copiar.
En la ventana Add Log Receiver, modifica los campos según sea necesario. Para obtener más información sobre cada campo, consulta el procedimiento en la sección Cómo agregar un receptor de registros.
Haz clic en Guardar.

Cómo editar un receptor de registro

Selecciona Control > Infraestructura privada > Servicio de transmisión de registros > Receptores de registros.
En la tabla, busca el receptor de registro que deseas modificar y haz clic en Editar.
En la ventana Editar receptor de registros, modifica los campos según sea necesario. Para obtener más información sobre cada campo, consulta el procedimiento en la sección Cómo agregar un receptor de registros.
Haz clic en Guardar.

Cómo borrar un receptor de registro

Selecciona Control > Infraestructura privada > Servicio de transmisión de registros > Receptores de registros.
En la tabla, busca el receptor de registro que deseas modificar y haz clic en Borrar.
En la ventana Confirmación, haz clic en Borrar.

Reenvía registros a Google SecOps con el agente de Bindplane

Instala y configura una máquina virtual de Linux.
Instala y configura el agente de Bindplane en Linux para reenviar registros a Google SecOps. Para obtener más información sobre cómo instalar y configurar el agente de Bindplane, consulta las instrucciones de instalación y configuración del agente de Bindplane.

Si tienes problemas cuando creas feeds, comunícate con el equipo de asistencia de SecOps de Google.

Tabla de asignación de UDM

Referencia de asignación de campos: ZSCALER_ZPA_AUDIT

En la siguiente tabla, se enumeran los campos de registro del tipo de registro ZSCALER_ZPA_AUDIT y sus campos de UDM correspondientes.

Log field	UDM mapping	Logic
	`metadata.product_name`	The `metadata.product_name` UDM field is set to `ZPA Audit`.
	`metadata.vendor_name`	The `metadata.vendor_name` UDM field is set to `Zscaler`.
`CreationTime`	`metadata.event_timestamp`
`RequestID`	`metadata.product_log_id`
`SessionID`	`network.session_id`
	`metadata.event_type`	If the `AuditOperationType` log field value is not empty, then if the `AuditOperationType` log field value is equal to `Create`, then the `metadata.event_type` UDM field is set to `RESOURCE_CREATION`. Else, if the `AuditOperationType` log field value is equal to `Client Session Revoked`, then the `metadata.event_type` UDM field is set to `USER_LOGOUT`. Else, if the `AuditOperationType` log field value is equal to `Delete`, then the `metadata.event_type` UDM field is set to `RESOURCE_DELETION`. Else, if the `AuditOperationType` log field value is equal to `Download`, then the `metadata.event_type` UDM field is set to `USER_RESOURCE_ACCESS`. Else, if the `AuditOperationType` log field value is equal to `Sign In`, then the `metadata.event_type` UDM field is set to `USER_LOGIN`. Else, if the `AuditOperationType` log field value is equal to `Sign In Failure`, then the `metadata.event_type` UDM field is set to `USER_LOGIN`. Else, if the `AuditOperationType` log field value is equal to `Sign Out`, then the `metadata.event_type` UDM field is set to `USER_LOGOUT`. Else, if the `AuditOperationType` log field value is equal to `Update`, then the `metadata.event_type` UDM field is set to `USER_RESOURCE_UPDATE_CONTENT`.
	`metadata.product_event_type`	If the `AuditOperationType` log field value is not empty, then if the `AuditOperationType` log field value is equal to `Create`, then the `metadata.product_event_type` UDM field is set to `create`. Else, if the `AuditOperationType` log field value is equal to `Client Session Revoked`, then the `metadata.product_event_type` UDM field is set to `client session revoked`. Else, if the `AuditOperationType` log field value is equal to `Delete`, then the `metadata.product_event_type` UDM field is set to `delete`. Else, if the `AuditOperationType` log field value is equal to `Download`, then the `metadata.product_event_type` UDM field is set to `download`. Else, if the `AuditOperationType` log field value is equal to `Sign In`, then the `metadata.product_event_type` UDM field is set to `user_login`. Else, if the `AuditOperationType` log field value is equal to `Sign In Failure`, then the `metadata.product_event_type` UDM field is set to `user_login_fail`. Else, if the `AuditOperationType` log field value is equal to `Sign Out`, then the `metadata.product_event_type` UDM field is set to `user_logout`. Else, if the `AuditOperationType` log field value is equal to `Update`, then the `metadata.product_event_type` UDM field is set to `update`.
	`security_result.action`	If the `AuditOperationType` log field value is not empty, then if the `AuditOperationType` log field value is equal to `Client Session Revoked`, then the `security_result.action` UDM field is set to `BLOCK`. Else, if the `AuditOperationType` log field value is equal to `Sign In`, then the `security_result.action` UDM field is set to `ALLOW`. Else, if the `AuditOperationType` log field value is equal to `Sign In Failure`, then the `security_result.action` UDM field is set to `FAIL`.
`ObjectType`	`target.resource.resource_subtype`
`ObjectID`	`target.resource.product_object_id`
`ObjectName`	`target.resource.name`
`ModifiedTime`	`target.resource.attribute.labels[ModifiedTime]`
`ModifiedBy`	`principal.user.userid`
`User`	`principal.user.email_addresses`
`AuditOldValue`	`additional.fields[AuditOldValue]`	Iterate through AuditOldValue object: The `AuditOldValue object key` is mapped to the `additional.fields.key` UDM field and `AuditOldValue object value` is mapped to the `additional.fields.value` UDM field.
`AuditNewValue`	`additional.fields[AuditNewValue]`	Iterate through AuditNewValue object: The `AuditNewValue object key` is set to the `additional.fields.key` UDM field and `AuditNewValue object value` is mapped to the `additional.fields.value` UDM field.
`CustomerID`	`target.user.userid`
`ClientAuditUpdate`	`additional.fields[ClientAuditUpdate]`

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.