Recopila registros de alertas del agente de seguridad para el acceso a la nube (CASB) de Zscaler
En este documento, se describe cómo puedes recopilar los registros de alertas del agente de seguridad de acceso a la nube (CASB) de Zscaler. Este analizador extrae campos de registros con formato JSON y controla las posibles inconsistencias de formato. Asigna campos extraídos al UDM, crea o combina campos dentro de los objetos principal
, metadata
, additional
y security_result
, y, en última instancia, combina todo en un campo @output
unificado. El analizador también realiza varias transformaciones de datos, como la manipulación de cadenas y el análisis de fechas.
Antes de comenzar
- Asegúrate de tener una instancia de Google Security Operations.
- Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con
systemd
. - Si se ejecuta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
- Asegúrate de tener acceso de administrador a ZScaler.
Obtén el archivo de autenticación de transferencia de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a Configuración de SIEM > Agentes de recopilación.
- Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.
Obtén el ID de cliente de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a Configuración de SIEM > Perfil.
- Copia y guarda el ID de cliente de la sección Detalles de la organización.
Instala el agente de BindPlane
Instalación de Windows
- Abre el símbolo del sistema o PowerShell como administrador.
Ejecuta el siguiente comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Instalación de Linux
- Abre una terminal con privilegios de raíz o sudo.
Ejecuta el siguiente comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Recursos de instalación adicionales
- Para obtener más opciones de instalación, consulta esta guía de instalación.
Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps
Accede al archivo de configuración:
- Ubica el archivo
config.yaml
. Por lo general, se encuentra en el directorio/etc/bindplane-agent/
en Linux o en el directorio de instalación en Windows. - Abre el archivo con un editor de texto (por ejemplo,
nano
,vi
o Bloc de notas).
- Ubica el archivo
Edita el archivo
config.yaml
de la siguiente manera:receivers: tcplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: vmware_nsx raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels
Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza
<customer_id>
por el ID de cliente real.Actualiza
/path/to/ingestion-authentication-file.json
a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Obtén el archivo de autenticación de transferencia de Google SecOps.
Reinicia el agente de BindPlane para aplicar los cambios.
En Linux, para reiniciar el agente de BindPlane, ejecuta el siguiente comando:
sudo systemctl restart bindplane-agent
En Windows, para reiniciar el agente de BindPlane, puedes usar la consola Services o ingresar el siguiente comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configura Zscaler Cloud Web Security
- Accede a la Consola del administrador de Zscaler Analytics.
- Selecciona Administración > Configuración > Servicio de transmisión de Nanolog (NSS).
- Selecciona Feeds de NSS.
- Haz clic en Agregar.
En la ventana Agregar feed de NSS que aparece, haz lo siguiente:
- Nombre del feed: Ingresa el nombre del feed.
- Tipo de NSS: Selecciona NSS para la Web o NSS para el firewall según tus requisitos.
- Nombre de NSS: Selecciona la máquina virtual (VM) de NSS que recopila registros de la nube (solo se puede asignar una VM de NSS a un feed).
- Estado: Selecciona Habilitado para activar el feed.
- IP de SIEM: Ingresa la dirección IP del servidor de syslog o de Bindplane.
- Puerto TCP de SIEM: Ingresa el número de puerto del servidor de syslog o Bindplane para la comunicación TCP (Zscaler solo admite la conexión TCP).
- Tipo de registro: Selecciona Registro web o Registros de firewall según el tipo de NSS seleccionado.
- Tipo de salida del feed: Selecciona Personalizado.
- Formato de salida del feed: Especifica el registro web o de firewall.
- Ofuscación de usuarios: Selecciona Disabled para mostrar los nombres de usuario de acceso en el resultado. Para valores aleatorios, selecciona Habilitado.
- Zona horaria: Selecciona la zona horaria adecuada (la zona horaria predeterminada es GMT).
- Registros duplicados: Ingresa la cantidad de minutos que tarda NSS en enviar los registros duplicados (puedes seleccionar el tiempo según tus requisitos).
- Filtros de transacciones: Existen varios parámetros disponibles en función de los cuales puedes filtrar los registros que envía la máquina virtual de NSS.
Para obtener más información sobre los diferentes conjuntos de filtros, consulta la sección del documento de NSS en el Portal de ayuda.
Usa la Consola del administrador de políticas o la Consola del administrador de Analytics:
- Para usar la Consola del administrador de políticas, haz clic en Listo.
- Para usar la Consola del administrador de Analytics, haz clic en Guardar. Después de cerrar la ventana Add NSS feed, vuelve a la ventana anterior y los detalles del feed agregado se mostrarán en la sección Configure feeds.
Usa la Consola del administrador de políticas o la Consola del administrador de Analytics:
- Para usar la Consola del administrador de políticas, haz lo siguiente:
- En la sección Configurar feeds, haz clic en Guardar.
- Haz clic en Activar ahora (el estado del resultado aparecerá en una ventana nueva).
- Haz clic en Listo.
- Para usar la Consola del administrador de Analytics, haz clic en Activar ahora (el estado del resultado aparece en la parte superior de la ventana).
- Para usar la Consola del administrador de políticas, haz lo siguiente:
Configura el feed de registros web y de firewall
En el campo Formato de salida del feed, usa los siguientes feeds:
Si el recopilador admite el formato personalizado, especifica el siguiente feed de registro web:
|ZSCALER|DATE|%s{mon} %d{dd} %02d{hh}:%02d{mm}:%02d{ss}|NSSFEEDIP|%s{nsssvcip}|CLIENTINTIP|%s{cintip}|RECORDID|%d{recordid}|LOGINNAME|%s{login}|PROTOCOL|%s{proto}|URL|%s{url}|HOST|%s{host}|ACTION|%s{action}|REASON|%s{reason}|RISKSCORE|%d{riskscore}|APPNAME|%s{appname}|APPCLASS|%s{appclass}|REQSIZE|%d{reqsize}|RESPSIZE|%d{respsize}|CTIME|%d{ctime}|URLCLASS|%s{urlclass}|SUPERCAT|%s{urlsupercat}|URLCAT|%s{urlcat}|MALWARECAT|%s{malwarecat}|MALWARECLASS|%s{malwareclass}|THREATNAME|%s{threatname}|FILETYPE|%s{filetype}|FILECLASS|%s{fileclass}|DLPENGINE|%s{dlpeng}|DLPDICT|%s{dlpdict}|BWTHROTTLE|%s{bwthrottle}|LOCATION|%s{location}|DEPARTMENT|%s{dept}|CLIENTIP|%s{cip}|DESTINATIONIP|%s{sip}|REQMETHOD|%s{reqmethod}|RESPCODE|%s{respcode}|USERAGENT|%s{ua}|REFERER|%s{referer}|MD5HASH|%s{bamd5}|DLPRULENAME|%s{dlprulename}|DLPMD5|%s{dlpmd5}|DLPIDENTIFIER|%d{dlpidentifier}|DLPDICTHITCOUNT|%s{dlpdicthitcount}|\n ```
Si el recopilador admite la suscripción al feed de firewall, especifica el siguiente feed de firewall:
|ZSCALERFIREWALL|DATE|%s{mon}%d{dd} %02d{hh}:%02d{mm}:%02d{ss}|CLIENTIP|%s{csip}|RECORDID|%d{recordid}|LOGINNAME|%s{login}|PROTOCOL|%s{ipproto}|ACTION|%s{action}|DESTINATIONIP|%s{cdip}|SOURCEPORT|%d{csport}|DESTINATIONPORT|%d{cdport}|CLIENTTUNIP|%s{tsip}|CLIENTTUNPORT|%d{tsport}|LOCATION|%s{location}|DEPARTMENT|%s{dept}|DESTINATIONCOUNTRY|%s{destcountry}|INCOMINGBYTES|%ld{inbytes}|NETWORKAPP|%s{nwapp}|NETWORKSVC|%s{nwsvc}|RULELABEL|%s{rulelabel}|NATTING|%s{dnat}|SESSIONDURATION|%d{duration}|AGGREGATEDSESSION|%d{numsessions}|AVERAGEDURATION|%d{avgduration}|TUNNELTYPE|%s{ttype}|SERVERDESTPORT|%d{sdport}|SERVERSOURCEIP|%s{ssip}|SERVERSOURCEPORT|%d{ssport}|IPCAT|%s{ipcat}|\n
Configura el acceso privado de Zscaler
- Actividad del usuario: Selecciona Tipo de registro.
- Plantilla de registro: Selecciona CSV.
Log stream: Ejecuta el siguiente comando:
*%s{LogTimestamp:time} User Activity zpa-lss: %s{Username},%d{ServicePort},%s{ClientPublicIP},%s{ClientCountryCode},%s{ConnectionStatus},%d{IPProtocol},%s{ClientZEN},%s{Policy},%s{Connector},%s{ConnectorZEN},%s{ConnectorIP},%s{Host},%s{ServerIP},%s{TimestampConnectionStart:iso8601},%d{ServerPort}\n*
Tabla de asignación de UDM
Campo de registro | Asignación de UDM | Lógica |
---|---|---|
applicationname |
principal.application |
El valor de applicationname del registro sin procesar se asigna a este campo de la AUA. |
company |
principal.user.company_name |
El valor de company del registro sin procesar se asigna a este campo de la AUA. |
datetime |
metadata.event_timestamp |
El valor de datetime del registro sin procesar se analiza y se convierte en una marca de tiempo, que luego se asigna a este campo de la AUA. El analizador usa varios formatos de fecha para controlar las variaciones en el registro sin procesar. |
dept |
principal.user.department |
El valor de dept del registro sin procesar se asigna a este campo de la AUA. |
dlpdictcount |
additional.fields |
Si dlpdictcount está presente y no es "None" o está vacío en el registro sin procesar, se agrega un campo nuevo con la clave "dlpdictcount" y un valor de cadena de dlpdictcount al array additional.fields . |
dlpdictnames |
additional.fields |
Si dlpdictnames está presente y no es "None" o está vacío en el registro sin procesar, se agrega un campo nuevo con la clave "dlpdictnames" y un valor de cadena de dlpdictnames al array additional.fields . |
dlpenginenames |
additional.fields |
Si dlpenginenames está presente y no es "None" o está vacío en el registro sin procesar, se agrega un campo nuevo con la clave "dlpenginenames" y un valor de cadena de dlpenginenames al array additional.fields . |
event.extcollabnames |
additional.fields |
Si extcollabnames está presente en el registro sin procesar, se divide por el " |
event.extownername |
additional.fields |
Si extownername está presente en el registro sin procesar, se agrega un campo nuevo con la clave "extownername" y un valor de cadena de extownername al array additional.fields . |
filedownloadtimems |
additional.fields |
Si filedownloadtimems está presente en el registro sin procesar, se agrega un campo nuevo con la clave "File Download Time" y un valor de cadena de filedownloadtimems al array additional.fields . |
fileid |
additional.fields |
Si fileid está presente en el registro sin procesar, se agrega un campo nuevo con la clave "fileid" y un valor de cadena de fileid al array additional.fields . |
filename |
principal.process.file.full_path |
El valor de filename del registro sin procesar se asigna a este campo de la AUA. El analizador controla los caracteres escapados y los casos especiales en el nombre del archivo. |
filemd5 |
principal.process.file.md5 |
Si filemd5 está presente y no es "None" o está vacío en el registro sin procesar, su valor se asigna a este campo de la AUA. |
filescantimems |
additional.fields |
Si filescantimems está presente en el registro sin procesar, se agrega un campo nuevo con la clave "File Scan Time" y un valor de cadena de filescantimems al array additional.fields . |
filesource |
additional.fields |
Si filesource está presente en el registro sin procesar, se agrega un campo nuevo con la clave "File Source" y un valor de cadena de filesource al array additional.fields . El analizador controla los caracteres escapados y los casos especiales en filesource. |
fullurl |
principal.url |
Si fullurl está presente y no es "URL desconocida" o está vacío en el registro sin procesar, su valor se asigna a este campo de la AUA. |
intcollabnames |
additional.fields |
Si intcollabnames está presente en el registro sin procesar, se divide por el " |
lastmodtime |
metadata.event_timestamp |
Si lastmodtime está presente en el registro sin procesar, se analiza y se convierte en una marca de tiempo, que luego se asigna a este campo de la AUA. El analizador usa varios formatos de fecha para controlar las variaciones en el registro sin procesar. |
login |
principal.user.email_addresses , principal.user.userid |
Si login está presente y coincide con un formato de dirección de correo electrónico, su valor se asigna a principal.user.email_addresses y principal.user.userid . Si login está presente, pero no coincide con un formato de dirección de correo electrónico, su valor solo se asigna a principal.user.userid . Si login no está presente, principal.user.userid se establece en “n/a”. |
policy |
security_result.rule_name |
Si policy está presente y no es "None" o está vacío en el registro sin procesar, su valor se asigna a este campo de la AUA. |
recordid |
metadata.product_log_id |
Si recordid está presente en el registro sin procesar, su valor se asigna a este campo de la UDM. |
tenant |
additional.fields |
Si tenant está presente en el registro sin procesar, se agrega un campo nuevo con la clave "Tenant" y un valor de cadena de tenant al array additional.fields . |
threatname |
security_result.threat_name |
Si threatname está presente y no es "None" o está vacío en el registro sin procesar, su valor se asigna a este campo de la AUA. |
(lógica del analizador) | metadata.event_type |
El analizador establece este campo en "USER_UNCATEGORIZED". |
(lógica del analizador) | metadata.log_type |
El analizador establece este campo en "ZSCALER_CASB". |
(lógica del analizador) | metadata.product_name |
El analizador establece este campo en "Zscaler CASB". |
(lógica del analizador) | metadata.vendor_name |
El analizador establece este campo en "Zscaler". |
Cambios
2024-06-04
- Se agregó la función "gsub" para controlar los caracteres de escape no válidos en los siguientes campos: "filename", "fileid", "filemd5" y "filesource".
2024-03-27
- Se agregó la función "gsub" para controlar el carácter de escape no válido en "filename".
2024-03-05
- Se asignaron "event.fileid", "event.intcollabnames", "event.extownername" y "event.extcollabnames" a "additional.fields".
2024-01-29
- Se agregó la función “gsubs” para controlar el carácter de escape no válido “,” en “filesource”.
- Se agregó la función "gsubs" para controlar el carácter de escape no válido en "filename".
2023-12-21
- Se agregó gsubs para controlar los caracteres no válidos de los registros JSON no analizados.
2023-09-30
- Se asignó "event.login" a "principal.user.userid". Si no está disponible, establece "principal.user.userid" en "n/a".
- Se agregó la verificación "on_error" para el filtro "date" como "event.lastmodtime", que es un parámetro opcional.
2022-08-16
- Analizador creado recientemente