Mengumpulkan log Audit Zscaler ZPA

Didukung di:

Dokumen ini menjelaskan cara mengekspor log Audit Zscaler ZPA dengan menyiapkan agen Bindplane dan cara kolom log dipetakan ke kolom Unified Data Model (UDM) Google SecOps.

Untuk mengetahui informasi selengkapnya, lihat Ringkasan penyerapan data ke Google SecOps.

Deployment standar terdiri dari Zscaler ZPA Audit dan agen Bindplane yang dikonfigurasi untuk mengirim log ke Google Security Operations. Setiap deployment pelanggan dapat berbeda dan mungkin lebih kompleks.

Deployment berisi komponen berikut:

  • Zscaler ZPA Audit: Platform tempat Anda mengumpulkan log.

  • Agen Bindplane: Agen Bindplane mengambil log dari Zscaler ZPA Audit dan mengirimkan log ke Google Security Operations.

  • Google SecOps: Mempertahankan dan menganalisis log.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label ZSCALER_ZPA.

Sebelum memulai

  • Pastikan Anda menggunakan Zscaler ZPA Audit 2024 atau yang lebih baru.
  • Pastikan Anda memiliki akses ke konsol Zscaler Private Access. Untuk informasi selengkapnya, lihat Bantuan Akses Pribadi Aman (ZPA).
  • Pastikan semua sistem dalam arsitektur deployment dikonfigurasi dengan zona waktu UTC.

Mengonfigurasi Penerima Log di Akses Pribadi Zscaler

Gunakan langkah-langkah berikut untuk mengonfigurasi dan mengelola Penerima Log di Zscaler Private Access:

Menambahkan penerima log

  1. Pilih Configuration & Control > Private Infrastructure > Log Streaming Service > Log Receivers, lalu klik Add Log Receiver.
  2. Di tab Log Receiver, lakukan tindakan berikut:
    1. Di kolom Name, masukkan nama untuk penerima log.
    2. Di kolom Deskripsi, masukkan deskripsi.
    3. Di kolom Domain or IP Address, masukkan nama domain yang sepenuhnya memenuhi syarat (FQDN) atau alamat IP untuk penerima log.
    4. Di kolom TCP Port, masukkan nomor port TCP yang digunakan oleh penerima log.
    5. Pilih jenis enkripsi di Enkripsi TLS untuk mengaktifkan atau menonaktifkan enkripsi traffic antara Konektor Aplikasi dan penerima log. Secara default, setelan ini dinonaktifkan.
    6. Dalam daftar Grup App Connector, pilih grup App Connector yang dapat meneruskan log ke penerima, lalu klik Selesai.
    7. Klik Berikutnya.

  3. Di tab Log Stream, lakukan hal berikut:

    1. Pilih Jenis Log dari menu.
    2. Pilih Template Log dari menu.

    3. Salin-tempel Konten Aliran Log dan tambahkan kolom baru. Pastikan nama kunci cocok dengan nama kolom yang sebenarnya.

      Berikut adalah Konten Aliran Log default untuk jenis Log audit: 

      {"ModifiedTime":%j{modifiedTime:iso8601},"CreationTime":%j{creationTime:iso8601},"ModifiedBy":%d{modifiedBy},"RequestID":%j{requestId},"SessionID":%j{sessionId},"AuditOldValue":%j{auditOldValue},"AuditNewValue":%j{auditNewValue},"AuditOperationType":%j{auditOperationType},"ObjectType":%j{objectType},"ObjectName":%j{objectName},"ObjectID":%d{objectId},"CustomerID":%d{customerId},"User":%j{modifiedByUser},"ClientAuditUpdate":%d{clientAuditUpdate}}\n

    4. Di SAML Attributes, klik Select IdP, lalu pilih konfigurasi IdP yang ingin Anda sertakan dalam kebijakan.

    5. Di menu Application Segments, pilih segmen aplikasi yang ingin Anda sertakan, lalu klik Done.

    6. Di menu Grup Segmen, pilih grup segmen yang ingin Anda sertakan, lalu klik Selesai.

    7. Di menu Jenis Klien, pilih jenis klien yang ingin Anda sertakan, lalu klik Selesai.

    8. Di menu Status Sesi, pilih kode status sesi yang ingin dikecualikan, lalu klik Selesai.

    9. Klik Berikutnya.

  4. Di tab Tinjau, tinjau konfigurasi penerima log Anda, lalu klik Simpan.

Catatan: Parser ZSCALER_ZPA_AUDIT Gold hanya mendukung format log JSON. Oleh karena itu, pastikan untuk memilih JSON sebagai Template Log dari menu saat mengonfigurasi aliran log.

Menyalin Penerima log

  1. Pilih Kontrol > Infrastruktur Pribadi > Layanan Streaming Log > Penerima Log.
  2. Di tabel, temukan penerima log yang ingin Anda ubah, lalu klik Salin.
  3. Di jendela Tambahkan Penerima Log, ubah kolom sesuai kebutuhan. Untuk mempelajari setiap kolom lebih lanjut, lihat prosedur di bagian Menambahkan Penerima Log.
  4. Klik Simpan.

Mengedit Penerima log

  1. Pilih Kontrol > Infrastruktur Pribadi > Layanan Streaming Log > Penerima Log.
  2. Di tabel, temukan penerima log yang ingin Anda ubah, lalu klik Edit.
  3. Di jendela Edit Log Receiver, ubah kolom sesuai kebutuhan. Untuk mempelajari setiap kolom lebih lanjut, lihat prosedur di bagian Menambahkan Penerima Log.
  4. Klik Simpan.

Menghapus Penerima log

  1. Pilih Kontrol > Infrastruktur Pribadi > Layanan Streaming Log > Penerima Log.
  2. Di tabel, temukan penerima log yang ingin Anda ubah, lalu klik Hapus.
  3. Di jendela Konfirmasi, klik Hapus.

Meneruskan Log ke Google SecOps menggunakan agen Bindplane

  1. Instal dan siapkan Mesin Virtual Linux.
  2. Menginstal dan mengonfigurasi agen Bindplane di Linux untuk meneruskan log ke Google SecOps. Untuk informasi selengkapnya tentang cara menginstal dan mengonfigurasi agen Bindplane, lihat petunjuk penginstalan dan konfigurasi agen Bindplane.

Jika Anda mengalami masalah saat membuat feed, hubungi dukungan Google SecOps.

Tabel Pemetaan UDM

Referensi pemetaan kolom: ZSCALER_ZPA_AUDIT

Tabel berikut mencantumkan kolom log dari jenis log ZSCALER_ZPA_AUDIT dan kolom UDM yang sesuai.

Log field UDM mapping Logic
metadata.product_name The metadata.product_name UDM field is set to ZPA Audit.
metadata.vendor_name The metadata.vendor_name UDM field is set to Zscaler.
CreationTime metadata.event_timestamp
RequestID metadata.product_log_id
SessionID network.session_id
metadata.event_type If the AuditOperationType log field value is not empty, then if the AuditOperationType log field value is equal to Create, then the metadata.event_type UDM field is set to RESOURCE_CREATION.

Else, if the AuditOperationType log field value is equal to Client Session Revoked, then the metadata.event_type UDM field is set to USER_LOGOUT.

Else, if the AuditOperationType log field value is equal to Delete, then the metadata.event_type UDM field is set to RESOURCE_DELETION.

Else, if the AuditOperationType log field value is equal to Download, then the metadata.event_type UDM field is set to USER_RESOURCE_ACCESS.

Else, if the AuditOperationType log field value is equal to Sign In, then the metadata.event_type UDM field is set to USER_LOGIN.

Else, if the AuditOperationType log field value is equal to Sign In Failure, then the metadata.event_type UDM field is set to USER_LOGIN.

Else, if the AuditOperationType log field value is equal to Sign Out, then the metadata.event_type UDM field is set to USER_LOGOUT.

Else, if the AuditOperationType log field value is equal to Update, then the metadata.event_type UDM field is set to USER_RESOURCE_UPDATE_CONTENT.
metadata.product_event_type If the AuditOperationType log field value is not empty, then if the AuditOperationType log field value is equal to Create, then the metadata.product_event_type UDM field is set to create.

Else, if the AuditOperationType log field value is equal to Client Session Revoked, then the metadata.product_event_type UDM field is set to client session revoked.

Else, if the AuditOperationType log field value is equal to Delete, then the metadata.product_event_type UDM field is set to delete.

Else, if the AuditOperationType log field value is equal to Download, then the metadata.product_event_type UDM field is set to download.

Else, if the AuditOperationType log field value is equal to Sign In, then the metadata.product_event_type UDM field is set to user_login.

Else, if the AuditOperationType log field value is equal to Sign In Failure, then the metadata.product_event_type UDM field is set to user_login_fail.

Else, if the AuditOperationType log field value is equal to Sign Out, then the metadata.product_event_type UDM field is set to user_logout.

Else, if the AuditOperationType log field value is equal to Update, then the metadata.product_event_type UDM field is set to update.
security_result.action If the AuditOperationType log field value is not empty, then if the AuditOperationType log field value is equal to Client Session Revoked, then the security_result.action UDM field is set to BLOCK.

Else, if the AuditOperationType log field value is equal to Sign In, then the security_result.action UDM field is set to ALLOW.

Else, if the AuditOperationType log field value is equal to Sign In Failure, then the security_result.action UDM field is set to FAIL.
ObjectType target.resource.resource_subtype
ObjectID target.resource.product_object_id
ObjectName target.resource.name
ModifiedTime target.resource.attribute.labels[ModifiedTime]
ModifiedBy principal.user.userid
User principal.user.email_addresses
AuditOldValue additional.fields[AuditOldValue] Iterate through AuditOldValue object: The AuditOldValue object key is mapped to the additional.fields.key UDM field and AuditOldValue object value is mapped to the additional.fields.value UDM field.
AuditNewValue additional.fields[AuditNewValue] Iterate through AuditNewValue object: The AuditNewValue object key is set to the additional.fields.key UDM field and AuditNewValue object value is mapped to the additional.fields.value UDM field.
CustomerID target.user.userid
ClientAuditUpdate additional.fields[ClientAuditUpdate]

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.