Diese Seite wurde von der Cloud Translation API übersetzt.

Zscaler ZPA-Audit-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird erläutert, wie Sie Zscaler ZPA-Audit-Logs exportieren, indem Sie den Bindplane-Agenten einrichten. Außerdem wird beschrieben, wie Logfelder den Feldern des Google SecOps Unified Data Model (UDM) zugeordnet werden.

Weitere Informationen finden Sie unter Datenaufnahme in Google SecOps.

Eine typische Bereitstellung besteht aus Zscaler ZPA Audit und dem Bindplane-Agenten, der so konfiguriert ist, dass Protokolle an Google Security Operations gesendet werden. Jede Kundenimplementierung kann sich unterscheiden und möglicherweise komplexer sein.

Die Bereitstellung umfasst die folgenden Komponenten:

Zscaler ZPA Audit: Die Plattform, von der Sie Protokolle erfassen.
BindPlane-Agent: Der BindPlane-Agent ruft Protokolle aus der Zscaler ZPA Audit ab und sendet sie an Google Security Operations.
Google SecOps: Hier werden die Protokolle aufbewahrt und analysiert.

Ein Datenaufnahmelabel identifiziert den Parser, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Label ZSCALER_ZPA.

Hinweise

Sie müssen Zscaler ZPA Audit 2024 oder höher verwenden.
Sie benötigen Zugriff auf die Zscaler Private Access-Konsole. Weitere Informationen finden Sie in der Hilfe zu ZPA (Secure Private Access).
Alle Systeme in der Bereitstellungsarchitektur müssen mit der Zeitzone UTC konfiguriert sein.

Log Receiver in Zscaler Private Access konfigurieren

So konfigurieren und verwalten Sie den Log Receiver in Zscaler Private Access:

Log-Empfänger hinzufügen

Wählen Sie Konfiguration und Steuerung > Private Infrastruktur > Log-Streamingdienst > Log-Empfänger aus und klicken Sie dann auf Log-Empfänger hinzufügen.
Führen Sie auf dem Tab Log Receiver die folgenden Schritte aus:
1. Geben Sie im Feld Name den Namen für den Log-Empfänger ein.
2. Geben Sie im Feld Beschreibung eine Beschreibung ein.
3. Geben Sie im Feld Domain oder IP-Adresse den voll qualifizierten Domainnamen (FQDN) oder die IP-Adresse für den Protokollempfänger ein.
4. Geben Sie im Feld TCP-Port die TCP-Portnummer ein, die vom Protokollempfänger verwendet wird.
5. Wählen Sie unter TLS-Verschlüsselung den Verschlüsselungstyp aus, um die Verschlüsselung des Traffics zwischen dem App-Connector und dem Log-Empfänger zu aktivieren oder zu deaktivieren. Diese Einstellung ist standardmäßig deaktiviert.
6. Wählen Sie in der Liste App Connector-Gruppen die App Connector-Gruppen aus, die Protokolle an den Empfänger weiterleiten können, und klicken Sie auf Fertig.
7. Klicken Sie auf Weiter.
Führen Sie auf dem Tab Protokollstream die folgenden Schritte aus:
1. Wählen Sie im Menü einen Log-Typ aus.
2. Wählen Sie im Menü eine Protokollvorlage aus.
3. Kopieren Sie den Log Stream Content und fügen Sie neue Felder hinzu. Die Schlüsselnamen müssen mit den tatsächlichen Feldnamen übereinstimmen.
  
  Im Folgenden finden Sie den standardmäßigen Log-Stream-Inhalt für den Typ „Audit-Log“:
```
{"ModifiedTime":%j{modifiedTime:iso8601},"CreationTime":%j{creationTime:iso8601},"ModifiedBy":%d{modifiedBy},"RequestID":%j{requestId},"SessionID":%j{sessionId},"AuditOldValue":%j{auditOldValue},"AuditNewValue":%j{auditNewValue},"AuditOperationType":%j{auditOperationType},"ObjectType":%j{objectType},"ObjectName":%j{objectName},"ObjectID":%d{objectId},"CustomerID":%d{customerId},"User":%j{modifiedByUser},"ClientAuditUpdate":%d{clientAuditUpdate}}\n
```
4. Klicken Sie unter SAML-Attribute auf IdP auswählen und wählen Sie die IdP-Konfiguration aus, die Sie in die Richtlinie aufnehmen möchten.
5. Wählen Sie im Menü Anwendungssegmente die gewünschten Anwendungssegmente aus und klicken Sie auf Fertig.
6. Wählen Sie im Menü Segmentgruppen die Segmentgruppen aus, die Sie einschließen möchten, und klicken Sie auf Fertig.
7. Wählen Sie im Menü Kundentypen die gewünschten Kundentypen aus und klicken Sie auf Fertig.
8. Wählen Sie im Menü Sitzungsstatus die Sitzungsstatuscodes aus, die Sie ausschließen möchten, und klicken Sie auf Fertig.
9. Klicken Sie auf Weiter.
Überprüfen Sie auf dem Tab Überprüfen die Konfiguration des Protokollempfängers und klicken Sie auf Speichern.

Hinweis:Der ZSCALER_ZPA_AUDIT Gold-Parser unterstützt nur das JSON-Logformat. Wählen Sie daher beim Konfigurieren des Logstreams JSON als Log-Vorlage aus dem Menü aus.

Empfänger eines Protokolls kopieren

Wählen Sie Verwaltung > Private Infrastruktur > Log-Streamingdienst > Log-Empfänger aus.
Suchen Sie in der Tabelle den Log-Empfänger, den Sie ändern möchten, und klicken Sie auf Kopieren.
Ändern Sie die Felder im Fenster Log-Empfänger hinzufügen nach Bedarf. Weitere Informationen zu den einzelnen Feldern finden Sie im Abschnitt Protokollempfänger hinzufügen.
Klicken Sie auf Speichern.

Log-Empfänger bearbeiten

Wählen Sie Verwaltung > Private Infrastruktur > Log-Streamingdienst > Log-Empfänger aus.
Suchen Sie in der Tabelle den Log-Empfänger, den Sie ändern möchten, und klicken Sie auf Bearbeiten.
Bearbeiten Sie im Fenster Log-Empfänger bearbeiten die Felder nach Bedarf. Weitere Informationen zu den einzelnen Feldern finden Sie im Abschnitt Protokollempfänger hinzufügen.
Klicken Sie auf Speichern.

Log-Empfänger löschen

Wählen Sie Verwaltung > Private Infrastruktur > Log-Streamingdienst > Log-Empfänger aus.
Suchen Sie in der Tabelle nach dem Protokollempfänger, den Sie ändern möchten, und klicken Sie auf Löschen.
Klicken Sie im Fenster Bestätigung auf Löschen.

Protokolle mit dem BindPlane-Agent an Google SecOps weiterleiten

Installieren und einrichten Sie eine virtuelle Linux-Maschine.
Installieren und konfigurieren Sie den Bindplane-Agenten unter Linux, um Protokolle an Google SecOps weiterzuleiten. Weitere Informationen zur Installation und Konfiguration des BindPlane-Agents finden Sie in der Anleitung zur Installation und Konfiguration des BindPlane-Agents.

Wenn beim Erstellen von Feeds Probleme auftreten, wenden Sie sich an den Google SecOps-Support.

UDM-Zuordnungstabelle

Referenz für die Feldzuordnung: ZSCALER_ZPA_AUDIT

In der folgenden Tabelle sind die Protokollfelder des ZSCALER_ZPA_AUDIT-Protokolltyps und die zugehörigen UDM-Felder aufgeführt.

Log field	UDM mapping	Logic
	`metadata.product_name`	The `metadata.product_name` UDM field is set to `ZPA Audit`.
	`metadata.vendor_name`	The `metadata.vendor_name` UDM field is set to `Zscaler`.
`CreationTime`	`metadata.event_timestamp`
`RequestID`	`metadata.product_log_id`
`SessionID`	`network.session_id`
	`metadata.event_type`	If the `AuditOperationType` log field value is not empty, then if the `AuditOperationType` log field value is equal to `Create`, then the `metadata.event_type` UDM field is set to `RESOURCE_CREATION`. Else, if the `AuditOperationType` log field value is equal to `Client Session Revoked`, then the `metadata.event_type` UDM field is set to `USER_LOGOUT`. Else, if the `AuditOperationType` log field value is equal to `Delete`, then the `metadata.event_type` UDM field is set to `RESOURCE_DELETION`. Else, if the `AuditOperationType` log field value is equal to `Download`, then the `metadata.event_type` UDM field is set to `USER_RESOURCE_ACCESS`. Else, if the `AuditOperationType` log field value is equal to `Sign In`, then the `metadata.event_type` UDM field is set to `USER_LOGIN`. Else, if the `AuditOperationType` log field value is equal to `Sign In Failure`, then the `metadata.event_type` UDM field is set to `USER_LOGIN`. Else, if the `AuditOperationType` log field value is equal to `Sign Out`, then the `metadata.event_type` UDM field is set to `USER_LOGOUT`. Else, if the `AuditOperationType` log field value is equal to `Update`, then the `metadata.event_type` UDM field is set to `USER_RESOURCE_UPDATE_CONTENT`.
	`metadata.product_event_type`	If the `AuditOperationType` log field value is not empty, then if the `AuditOperationType` log field value is equal to `Create`, then the `metadata.product_event_type` UDM field is set to `create`. Else, if the `AuditOperationType` log field value is equal to `Client Session Revoked`, then the `metadata.product_event_type` UDM field is set to `client session revoked`. Else, if the `AuditOperationType` log field value is equal to `Delete`, then the `metadata.product_event_type` UDM field is set to `delete`. Else, if the `AuditOperationType` log field value is equal to `Download`, then the `metadata.product_event_type` UDM field is set to `download`. Else, if the `AuditOperationType` log field value is equal to `Sign In`, then the `metadata.product_event_type` UDM field is set to `user_login`. Else, if the `AuditOperationType` log field value is equal to `Sign In Failure`, then the `metadata.product_event_type` UDM field is set to `user_login_fail`. Else, if the `AuditOperationType` log field value is equal to `Sign Out`, then the `metadata.product_event_type` UDM field is set to `user_logout`. Else, if the `AuditOperationType` log field value is equal to `Update`, then the `metadata.product_event_type` UDM field is set to `update`.
	`security_result.action`	If the `AuditOperationType` log field value is not empty, then if the `AuditOperationType` log field value is equal to `Client Session Revoked`, then the `security_result.action` UDM field is set to `BLOCK`. Else, if the `AuditOperationType` log field value is equal to `Sign In`, then the `security_result.action` UDM field is set to `ALLOW`. Else, if the `AuditOperationType` log field value is equal to `Sign In Failure`, then the `security_result.action` UDM field is set to `FAIL`.
`ObjectType`	`target.resource.resource_subtype`
`ObjectID`	`target.resource.product_object_id`
`ObjectName`	`target.resource.name`
`ModifiedTime`	`target.resource.attribute.labels[ModifiedTime]`
`ModifiedBy`	`principal.user.userid`
`User`	`principal.user.email_addresses`
`AuditOldValue`	`additional.fields[AuditOldValue]`	Iterate through AuditOldValue object: The `AuditOldValue object key` is mapped to the `additional.fields.key` UDM field and `AuditOldValue object value` is mapped to the `additional.fields.value` UDM field.
`AuditNewValue`	`additional.fields[AuditNewValue]`	Iterate through AuditNewValue object: The `AuditNewValue object key` is set to the `additional.fields.key` UDM field and `AuditNewValue object value` is mapped to the `additional.fields.value` UDM field.
`CustomerID`	`target.user.userid`
`ClientAuditUpdate`	`additional.fields[ClientAuditUpdate]`

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten