Coletar registros de auditoria do Zscaler ZPA

Compatível com:

Este documento explica como exportar registros de auditoria do Zscaler ZPA configurando o agente do Bindplane e como os campos de registro são mapeados para os campos do modelo de dados unificado (UDM, na sigla em inglês) do Google SecOps.

Para mais informações, consulte Visão geral da ingestão de dados no Google SecOps.

Uma implantação típica consiste na auditoria ZPA do Zscaler e no agente Bindplane configurados para enviar registros ao Google Security Operations. Cada implantação do cliente pode ser diferente e mais complexa.

A implantação contém os seguintes componentes:

  • Zscaler ZPA Audit: a plataforma de onde você coleta registros.

  • Agente do Bindplane: o agente do Bindplane busca registros da auditoria do Zscaler ZPA e os envia para as Operações de segurança do Google.

  • Google SecOps: retém e analisa os registros.

Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos para o formato estruturado do UDM. As informações neste documento se aplicam ao analisador com o rótulo ZSCALER_ZPA.

Antes de começar

  • Verifique se você está usando a Zscaler ZPA Audit 2024 ou uma versão mais recente.
  • Verifique se você tem acesso ao console do Zscaler Private Access. Para mais informações, consulte a Ajuda do acesso privado seguro (ZPA).
  • Verifique se todos os sistemas na arquitetura de implantação estão configurados com o fuso horário UTC.

Configurar o receptor de registro no Zscaler Private Access

Siga estas etapas para configurar e gerenciar o Log Receiver no Zscaler Private Access:

Adicionar um receptor de registro

  1. Selecione Configuração e controle > Infraestrutura privada > Serviço de streaming de registros > Receptores de registro e clique em Adicionar receptor de registro.
  2. Na guia Receptor de registro, faça o seguinte:
    1. No campo Nome, insira o nome do receptor de registro.
    2. No campo Descrição, insira uma descrição.
    3. No campo Domínio ou endereço IP, insira o nome de domínio totalmente qualificado (FQDN) ou o endereço IP do receptor de registros.
    4. No campo Porta TCP, digite o número da porta TCP usada pelo receptor de registro.
    5. Selecione o tipo de criptografia em Criptografia TLS para ativar ou desativar a criptografia do tráfego entre o App Connector e o receptor de registro. Essa configuração fica desativada por padrão.
    6. Na lista Grupos de App Connector, escolha os grupos de App Connector que podem encaminhar registros para o receptor e clique em Concluído.
    7. Clique em Próxima.
  3. Na guia Fluxo de registro, faça o seguinte:

    1. Selecione um Tipo de registro no menu.
    2. Selecione um modelo de registro no menu.
    3. Copie e cole o Conteúdo do fluxo de registro e adicione novos campos. Confira se os nomes das chaves correspondem aos nomes dos campos.

      Confira a seguir o Conteúdo do fluxo de registro padrão para o tipo de registro de auditoria:

      {"ModifiedTime":%j{modifiedTime:iso8601},"CreationTime":%j{creationTime:iso8601},"ModifiedBy":%d{modifiedBy},"RequestID":%j{requestId},"SessionID":%j{sessionId},"AuditOldValue":%j{auditOldValue},"AuditNewValue":%j{auditNewValue},"AuditOperationType":%j{auditOperationType},"ObjectType":%j{objectType},"ObjectName":%j{objectName},"ObjectID":%d{objectId},"CustomerID":%d{customerId},"User":%j{modifiedByUser},"ClientAuditUpdate":%d{clientAuditUpdate}}\n
      
    4. Em Atributos SAML, clique em Selecionar IdP e escolha a configuração que você quer incluir na política.

    5. No menu Segmentos de aplicativo, selecione os segmentos de aplicativo que você quer incluir e clique em Concluído.

    6. No menu Segment Groups, selecione os grupos de segmentos que você quer incluir e clique em Done.

    7. No menu Tipos de cliente, selecione os tipos de cliente que você quer incluir e clique em Concluído.

    8. No menu Status da sessão, selecione os códigos de status da sessão que você quer excluir e clique em Concluído.

    9. Clique em Próxima.

  4. Na guia Revisão, revise a configuração do receptor de registro e clique em Salvar.

Observação:o analisador ZSCALER_ZPA_AUDIT Gold só oferece suporte ao formato de registro JSON. Portanto, selecione JSON como Modelo de registro no menu ao configurar o fluxo de registro.

Copiar um receptor de registro

  1. Selecione Controle > Infraestrutura privada > Serviço de streaming de registros > Receptores de registro.
  2. Na tabela, localize o receptor de registro que você quer modificar e clique em Copiar.
  3. Na janela Add Log Receiver, modifique os campos conforme necessário. Para saber mais sobre cada campo, consulte o procedimento na seção Adicionar um receptor de registro.
  4. Clique em Salvar.

Editar um receptor de registro

  1. Selecione Controle > Infraestrutura privada > Serviço de streaming de registros > Receptores de registro.
  2. Na tabela, localize o receptor de registro que você quer modificar e clique em Editar.
  3. Na janela Edit Log Receiver, modifique os campos conforme necessário. Para saber mais sobre cada campo, consulte o procedimento na seção Adicionar um receptor de registro.
  4. Clique em Salvar.

Excluir um receptor de registro

  1. Selecione Controle > Infraestrutura privada > Serviço de streaming de registros > Receptores de registro.
  2. Na tabela, localize o receptor de registro que você quer modificar e clique em Excluir.
  3. Na janela Confirmation, clique em Delete.

Encaminhar registros para o Google SecOps usando o agente Bindplane

  1. Instale e configure uma máquina virtual Linux.
  2. Instale e configure o agente do Bindplane no Linux para encaminhar logs ao Google SecOps. Para mais informações sobre como instalar e configurar o agente do Bindplane, consulte as instruções de instalação e configuração do agente do Bindplane.

Se você tiver problemas ao criar feeds, entre em contato com o suporte do Google SecOps.

Tabela de mapeamento do UDM

Referência de mapeamento de campo: ZSCALER_ZPA_AUDIT

A tabela a seguir lista os campos de registro do tipo ZSCALER_ZPA_AUDIT e os campos correspondentes do UDM.

Log field UDM mapping Logic
metadata.product_name The metadata.product_name UDM field is set to ZPA Audit.
metadata.vendor_name The metadata.vendor_name UDM field is set to Zscaler.
CreationTime metadata.event_timestamp
RequestID metadata.product_log_id
SessionID network.session_id
metadata.event_type If the AuditOperationType log field value is not empty, then if the AuditOperationType log field value is equal to Create, then the metadata.event_type UDM field is set to RESOURCE_CREATION.

Else, if the AuditOperationType log field value is equal to Client Session Revoked, then the metadata.event_type UDM field is set to USER_LOGOUT.

Else, if the AuditOperationType log field value is equal to Delete, then the metadata.event_type UDM field is set to RESOURCE_DELETION.

Else, if the AuditOperationType log field value is equal to Download, then the metadata.event_type UDM field is set to USER_RESOURCE_ACCESS.

Else, if the AuditOperationType log field value is equal to Sign In, then the metadata.event_type UDM field is set to USER_LOGIN.

Else, if the AuditOperationType log field value is equal to Sign In Failure, then the metadata.event_type UDM field is set to USER_LOGIN.

Else, if the AuditOperationType log field value is equal to Sign Out, then the metadata.event_type UDM field is set to USER_LOGOUT.

Else, if the AuditOperationType log field value is equal to Update, then the metadata.event_type UDM field is set to USER_RESOURCE_UPDATE_CONTENT.
metadata.product_event_type If the AuditOperationType log field value is not empty, then if the AuditOperationType log field value is equal to Create, then the metadata.product_event_type UDM field is set to create.

Else, if the AuditOperationType log field value is equal to Client Session Revoked, then the metadata.product_event_type UDM field is set to client session revoked.

Else, if the AuditOperationType log field value is equal to Delete, then the metadata.product_event_type UDM field is set to delete.

Else, if the AuditOperationType log field value is equal to Download, then the metadata.product_event_type UDM field is set to download.

Else, if the AuditOperationType log field value is equal to Sign In, then the metadata.product_event_type UDM field is set to user_login.

Else, if the AuditOperationType log field value is equal to Sign In Failure, then the metadata.product_event_type UDM field is set to user_login_fail.

Else, if the AuditOperationType log field value is equal to Sign Out, then the metadata.product_event_type UDM field is set to user_logout.

Else, if the AuditOperationType log field value is equal to Update, then the metadata.product_event_type UDM field is set to update.
security_result.action If the AuditOperationType log field value is not empty, then if the AuditOperationType log field value is equal to Client Session Revoked, then the security_result.action UDM field is set to BLOCK.

Else, if the AuditOperationType log field value is equal to Sign In, then the security_result.action UDM field is set to ALLOW.

Else, if the AuditOperationType log field value is equal to Sign In Failure, then the security_result.action UDM field is set to FAIL.
ObjectType target.resource.resource_subtype
ObjectID target.resource.product_object_id
ObjectName target.resource.name
ModifiedTime target.resource.attribute.labels[ModifiedTime]
ModifiedBy principal.user.userid
User principal.user.email_addresses
AuditOldValue additional.fields[AuditOldValue] Iterate through AuditOldValue object: The AuditOldValue object key is mapped to the additional.fields.key UDM field and AuditOldValue object value is mapped to the additional.fields.value UDM field.
AuditNewValue additional.fields[AuditNewValue] Iterate through AuditNewValue object: The AuditNewValue object key is set to the additional.fields.key UDM field and AuditNewValue object value is mapped to the additional.fields.value UDM field.
CustomerID target.user.userid
ClientAuditUpdate additional.fields[ClientAuditUpdate]

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.