Recopila registros de alertas del agente de seguridad para el acceso a la nube (CASB) de Zscaler

Compatible con:

En este documento, se describe cómo puedes recopilar los registros de alertas del agente de seguridad de acceso a la nube (CASB) de Zscaler. Este analizador extrae campos de registros con formato JSON y controla las posibles inconsistencias de formato. Asigna campos extraídos al UDM, crea o combina campos dentro de los objetos principal, metadata, additional y security_result, y, en última instancia, combina todo en un campo @output unificado. El analizador también realiza varias transformaciones de datos, como la manipulación de cadenas y el análisis de fechas.

Antes de comenzar

  • Asegúrate de tener una instancia de Google Security Operations.
  • Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con systemd.
  • Si se ejecuta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
  • Asegúrate de tener acceso de administrador a ZScaler.

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recopilación.
  3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instalación de Windows

  1. Abre el símbolo del sistema o PowerShell como administrador.
  2. Ejecuta el siguiente comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Instalación de Linux

  1. Abre una terminal con privilegios de raíz o sudo.
  2. Ejecuta el siguiente comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

Recursos de instalación adicionales

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

  1. Accede al archivo de configuración:

    • Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).
  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
        tcplog:
            # Replace the below port <54525> and IP <0.0.0.0> with your specific values
            listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: vmware_nsx
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - tcplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.

  4. Reemplaza <customer_id> por el ID de cliente real.

  5. Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Obtén el archivo de autenticación de transferencia de Google SecOps.

Reinicia el agente de BindPlane para aplicar los cambios.

  • En Linux, para reiniciar el agente de BindPlane, ejecuta el siguiente comando:

    sudo systemctl restart bindplane-agent
    
  • En Windows, para reiniciar el agente de BindPlane, puedes usar la consola Services o ingresar el siguiente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent
    

Configura Zscaler Cloud Web Security

  1. Accede a la Consola del administrador de Zscaler Analytics.
  2. Selecciona Administración > Configuración > Servicio de transmisión de Nanolog (NSS).
  3. Selecciona Feeds de NSS.
  4. Haz clic en Agregar.
  5. En la ventana Agregar feed de NSS que aparece, haz lo siguiente:

    1. Nombre del feed: Ingresa el nombre del feed.
    2. Tipo de NSS: Selecciona NSS para la Web o NSS para el firewall según tus requisitos.
    3. Nombre de NSS: Selecciona la máquina virtual (VM) de NSS que recopila registros de la nube (solo se puede asignar una VM de NSS a un feed).
    4. Estado: Selecciona Habilitado para activar el feed.
    5. IP de SIEM: Ingresa la dirección IP del servidor de syslog o de Bindplane.
    6. Puerto TCP de SIEM: Ingresa el número de puerto del servidor de syslog o Bindplane para la comunicación TCP (Zscaler solo admite la conexión TCP).
    7. Tipo de registro: Selecciona Registro web o Registros de firewall según el tipo de NSS seleccionado.
    8. Tipo de salida del feed: Selecciona Personalizado.
    9. Formato de salida del feed: Especifica el registro web o de firewall.
    10. Ofuscación de usuarios: Selecciona Disabled para mostrar los nombres de usuario de acceso en el resultado. Para valores aleatorios, selecciona Habilitado.
    11. Zona horaria: Selecciona la zona horaria adecuada (la zona horaria predeterminada es GMT).
    12. Registros duplicados: Ingresa la cantidad de minutos que tarda NSS en enviar los registros duplicados (puedes seleccionar el tiempo según tus requisitos).
    13. Filtros de transacciones: Existen varios parámetros disponibles en función de los cuales puedes filtrar los registros que envía la máquina virtual de NSS.

    Para obtener más información sobre los diferentes conjuntos de filtros, consulta la sección del documento de NSS en el Portal de ayuda.

  6. Usa la Consola del administrador de políticas o la Consola del administrador de Analytics:

    1. Para usar la Consola del administrador de políticas, haz clic en Listo.
    2. Para usar la Consola del administrador de Analytics, haz clic en Guardar. Después de cerrar la ventana Add NSS feed, vuelve a la ventana anterior y los detalles del feed agregado se mostrarán en la sección Configure feeds.
  7. Usa la Consola del administrador de políticas o la Consola del administrador de Analytics:

    1. Para usar la Consola del administrador de políticas, haz lo siguiente:
      • En la sección Configurar feeds, haz clic en Guardar.
      • Haz clic en Activar ahora (el estado del resultado aparecerá en una ventana nueva).
      • Haz clic en Listo.
    2. Para usar la Consola del administrador de Analytics, haz clic en Activar ahora (el estado del resultado aparece en la parte superior de la ventana).

Configura el feed de registros web y de firewall

En el campo Formato de salida del feed, usa los siguientes feeds:

  • Si el recopilador admite el formato personalizado, especifica el siguiente feed de registro web:

    |ZSCALER|DATE|%s{mon} %d{dd} %02d{hh}:%02d{mm}:%02d{ss}|NSSFEEDIP|%s{nsssvcip}|CLIENTINTIP|%s{cintip}|RECORDID|%d{recordid}|LOGINNAME|%s{login}|PROTOCOL|%s{proto}|URL|%s{url}|HOST|%s{host}|ACTION|%s{action}|REASON|%s{reason}|RISKSCORE|%d{riskscore}|APPNAME|%s{appname}|APPCLASS|%s{appclass}|REQSIZE|%d{reqsize}|RESPSIZE|%d{respsize}|CTIME|%d{ctime}|URLCLASS|%s{urlclass}|SUPERCAT|%s{urlsupercat}|URLCAT|%s{urlcat}|MALWARECAT|%s{malwarecat}|MALWARECLASS|%s{malwareclass}|THREATNAME|%s{threatname}|FILETYPE|%s{filetype}|FILECLASS|%s{fileclass}|DLPENGINE|%s{dlpeng}|DLPDICT|%s{dlpdict}|BWTHROTTLE|%s{bwthrottle}|LOCATION|%s{location}|DEPARTMENT|%s{dept}|CLIENTIP|%s{cip}|DESTINATIONIP|%s{sip}|REQMETHOD|%s{reqmethod}|RESPCODE|%s{respcode}|USERAGENT|%s{ua}|REFERER|%s{referer}|MD5HASH|%s{bamd5}|DLPRULENAME|%s{dlprulename}|DLPMD5|%s{dlpmd5}|DLPIDENTIFIER|%d{dlpidentifier}|DLPDICTHITCOUNT|%s{dlpdicthitcount}|\n
            ```
    
  • Si el recopilador admite la suscripción al feed de firewall, especifica el siguiente feed de firewall:

    |ZSCALERFIREWALL|DATE|%s{mon}%d{dd} %02d{hh}:%02d{mm}:%02d{ss}|CLIENTIP|%s{csip}|RECORDID|%d{recordid}|LOGINNAME|%s{login}|PROTOCOL|%s{ipproto}|ACTION|%s{action}|DESTINATIONIP|%s{cdip}|SOURCEPORT|%d{csport}|DESTINATIONPORT|%d{cdport}|CLIENTTUNIP|%s{tsip}|CLIENTTUNPORT|%d{tsport}|LOCATION|%s{location}|DEPARTMENT|%s{dept}|DESTINATIONCOUNTRY|%s{destcountry}|INCOMINGBYTES|%ld{inbytes}|NETWORKAPP|%s{nwapp}|NETWORKSVC|%s{nwsvc}|RULELABEL|%s{rulelabel}|NATTING|%s{dnat}|SESSIONDURATION|%d{duration}|AGGREGATEDSESSION|%d{numsessions}|AVERAGEDURATION|%d{avgduration}|TUNNELTYPE|%s{ttype}|SERVERDESTPORT|%d{sdport}|SERVERSOURCEIP|%s{ssip}|SERVERSOURCEPORT|%d{ssport}|IPCAT|%s{ipcat}|\n
    

Configura el acceso privado de Zscaler

  1. Actividad del usuario: Selecciona Tipo de registro.
  2. Plantilla de registro: Selecciona CSV.
  3. Log stream: Ejecuta el siguiente comando:

    *%s{LogTimestamp:time} User Activity zpa-lss: %s{Username},%d{ServicePort},%s{ClientPublicIP},%s{ClientCountryCode},%s{ConnectionStatus},%d{IPProtocol},%s{ClientZEN},%s{Policy},%s{Connector},%s{ConnectorZEN},%s{ConnectorIP},%s{Host},%s{ServerIP},%s{TimestampConnectionStart:iso8601},%d{ServerPort}\n*
    

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
applicationname principal.application El valor de applicationname del registro sin procesar se asigna a este campo de la AUA.
company principal.user.company_name El valor de company del registro sin procesar se asigna a este campo de la AUA.
datetime metadata.event_timestamp El valor de datetime del registro sin procesar se analiza y se convierte en una marca de tiempo, que luego se asigna a este campo de la AUA. El analizador usa varios formatos de fecha para controlar las variaciones en el registro sin procesar.
dept principal.user.department El valor de dept del registro sin procesar se asigna a este campo de la AUA.
dlpdictcount additional.fields Si dlpdictcount está presente y no es "None" o está vacío en el registro sin procesar, se agrega un campo nuevo con la clave "dlpdictcount" y un valor de cadena de dlpdictcount al array additional.fields.
dlpdictnames additional.fields Si dlpdictnames está presente y no es "None" o está vacío en el registro sin procesar, se agrega un campo nuevo con la clave "dlpdictnames" y un valor de cadena de dlpdictnames al array additional.fields.
dlpenginenames additional.fields Si dlpenginenames está presente y no es "None" o está vacío en el registro sin procesar, se agrega un campo nuevo con la clave "dlpenginenames" y un valor de cadena de dlpenginenames al array additional.fields.
event.extcollabnames additional.fields Si extcollabnames está presente en el registro sin procesar, se divide por el "
event.extownername additional.fields Si extownername está presente en el registro sin procesar, se agrega un campo nuevo con la clave "extownername" y un valor de cadena de extownername al array additional.fields.
filedownloadtimems additional.fields Si filedownloadtimems está presente en el registro sin procesar, se agrega un campo nuevo con la clave "File Download Time" y un valor de cadena de filedownloadtimems al array additional.fields.
fileid additional.fields Si fileid está presente en el registro sin procesar, se agrega un campo nuevo con la clave "fileid" y un valor de cadena de fileid al array additional.fields.
filename principal.process.file.full_path El valor de filename del registro sin procesar se asigna a este campo de la AUA. El analizador controla los caracteres escapados y los casos especiales en el nombre del archivo.
filemd5 principal.process.file.md5 Si filemd5 está presente y no es "None" o está vacío en el registro sin procesar, su valor se asigna a este campo de la AUA.
filescantimems additional.fields Si filescantimems está presente en el registro sin procesar, se agrega un campo nuevo con la clave "File Scan Time" y un valor de cadena de filescantimems al array additional.fields.
filesource additional.fields Si filesource está presente en el registro sin procesar, se agrega un campo nuevo con la clave "File Source" y un valor de cadena de filesource al array additional.fields. El analizador controla los caracteres escapados y los casos especiales en filesource.
fullurl principal.url Si fullurl está presente y no es "URL desconocida" o está vacío en el registro sin procesar, su valor se asigna a este campo de la AUA.
intcollabnames additional.fields Si intcollabnames está presente en el registro sin procesar, se divide por el "
lastmodtime metadata.event_timestamp Si lastmodtime está presente en el registro sin procesar, se analiza y se convierte en una marca de tiempo, que luego se asigna a este campo de la AUA. El analizador usa varios formatos de fecha para controlar las variaciones en el registro sin procesar.
login principal.user.email_addresses, principal.user.userid Si login está presente y coincide con un formato de dirección de correo electrónico, su valor se asigna a principal.user.email_addresses y principal.user.userid. Si login está presente, pero no coincide con un formato de dirección de correo electrónico, su valor solo se asigna a principal.user.userid. Si login no está presente, principal.user.userid se establece en “n/a”.
policy security_result.rule_name Si policy está presente y no es "None" o está vacío en el registro sin procesar, su valor se asigna a este campo de la AUA.
recordid metadata.product_log_id Si recordid está presente en el registro sin procesar, su valor se asigna a este campo de la UDM.
tenant additional.fields Si tenant está presente en el registro sin procesar, se agrega un campo nuevo con la clave "Tenant" y un valor de cadena de tenant al array additional.fields.
threatname security_result.threat_name Si threatname está presente y no es "None" o está vacío en el registro sin procesar, su valor se asigna a este campo de la AUA.
(lógica del analizador) metadata.event_type El analizador establece este campo en "USER_UNCATEGORIZED".
(lógica del analizador) metadata.log_type El analizador establece este campo en "ZSCALER_CASB".
(lógica del analizador) metadata.product_name El analizador establece este campo en "Zscaler CASB".
(lógica del analizador) metadata.vendor_name El analizador establece este campo en "Zscaler".

Cambios

2024-06-04

  • Se agregó la función "gsub" para controlar los caracteres de escape no válidos en los siguientes campos: "filename", "fileid", "filemd5" y "filesource".

2024-03-27

  • Se agregó la función "gsub" para controlar el carácter de escape no válido en "filename".

2024-03-05

  • Se asignaron "event.fileid", "event.intcollabnames", "event.extownername" y "event.extcollabnames" a "additional.fields".

2024-01-29

  • Se agregó la función “gsubs” para controlar el carácter de escape no válido “,” en “filesource”.
  • Se agregó la función "gsubs" para controlar el carácter de escape no válido en "filename".

2023-12-21

  • Se agregó gsubs para controlar los caracteres no válidos de los registros JSON no analizados.

2023-09-30

  • Se asignó "event.login" a "principal.user.userid". Si no está disponible, establece "principal.user.userid" en "n/a".
  • Se agregó la verificación "on_error" para el filtro "date" como "event.lastmodtime", que es un parámetro opcional.

2022-08-16

  • Analizador creado recientemente