Zscaler DLP ログを収集する

以下でサポートされています。

このドキュメントでは、Google Security Operations フィードを設定して Zscaler DLP のログをエクスポートする方法と、ログフィールドが Google SecOps 統合データモデル(UDM)フィールドにマッピングされる方法について説明します。

詳細については、Google SecOps へのデータの取り込みの概要をご覧ください。

一般的なデプロイは、Zscaler DLP と、Google SecOps にログを送信するように構成された Google SecOps Webhook フィードで構成されます。お客様のデプロイはそれぞれ異なり、より複雑になる場合もあります。

デプロイには次のコンポーネントが含まれます。

  • Zscaler DLP: ログを収集するプラットフォーム。

  • Google SecOps フィード: Zscaler DLP からログを取得して Google SecOps に書き込む Google SecOps フィード。

  • Google Security Operations: ログを保持して分析します。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。 このドキュメントの情報は、ZSCALER_DLP ラベルが付加されたパーサーに適用されます。

始める前に

次の前提条件を満たしていることを確認します。

  • Zscaler Internet Access コンソールへのアクセス権。詳細については、インターネットと SaaS への安全なアクセス ZIA のヘルプをご覧ください。
  • Zscaler DLP 2024 以降
  • デプロイ アーキテクチャ内のすべてのシステムが、UTC タイムゾーンで構成されている。
  • Google Security Operations でフィードの設定を完了するために必要な API キー。詳細については、API キーの設定をご覧ください。

フィードを設定する

このログタイプを構成する手順は次のとおりです。

  1. [SIEM 設定] > [フィード] に移動します。
  2. [Add New Feed] をクリックします。
  3. [Zscaler] フィードパックをクリックします。
  4. 必要なログタイプを見つけて、[新しいフィードを追加] をクリックします。

  5. 次の入力パラメータの値を入力します。

    • ソースタイプ: Webhook(推奨)
    • Split delimiter: ログ行の区切りに使用される文字。区切り文字を使用しない場合は空白のままにします。

    詳細オプション

    • フィード名: フィードを識別する値が事前入力されています。
    • Asset Namespace: フィードに関連付けられた名前空間
    • Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。

  6. [フィードを作成] をクリックします。

このプロダクト ファミリー内のさまざまなログタイプに対して複数のフィードを構成する方法については、プロダクト別にフィードを構成するをご覧ください。

Zscaler DLP を設定する

  1. Zscaler Internet Access コンソールで、[管理> Nanolog ストリーミング サービス > クラウド NSS フィード] に移動します。
  2. [Cloud NSS フィードを追加] をクリックします。
  3. [フィード名] フィールドにフィードの名前を入力します。
  4. [NSS タイプ] で [NSS for Web] を選択します。
  5. [ステータス] リストからステータスを選択して、NSS フィードを有効または無効にします。
  6. [SIEM レート] メニューの値は [無制限] のままにします。ライセンスなどの制約により出力ストリームを抑制するには、値を変更します。
  7. [SIEM タイプ] リストで [その他] を選択します。
  8. [OAuth 2.0 認証] リストで [無効] を選択します。
  9. 個々の HTTP リクエスト ペイロードのサイズ上限を SIEM のベスト プラクティスに沿って [最大バッチサイズ] に入力します(例: 512 KB)。

  10. Chronicle API エンドポイントの HTTPS URL を次の形式で API URL に入力します。

    https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs
    • CHRONICLE_REGION: Google SecOps インスタンスがホストされているリージョン(例: US)。
    • GOOGLE_PROJECT_NUMBER: BYOP プロジェクト番号(C4 から取得)。
    • LOCATION: Google SecOps リージョン(例: US)。
    • CUSTOMER_ID: Google SecOps のお客様 ID(C4 から取得)。
    • FEED_ID: 新しい Webhook の作成時にフィード UI に表示されるフィード ID。

    API URL の例:

    https://us-chronicle.googleapis.com/v1alpha/projects/12345678910/locations/US/instances/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/feeds/yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy:importPushLogs

  11. [HTTP ヘッダーを追加] をクリックし、次の形式で HTTP ヘッダーを追加します。

    • Header 1: Key1: X-goog-api-keyValue1: Google Cloud BYOP の API 認証情報で生成された API キー。
    • Header 2: Key2: X-Webhook-Access-KeyValue2: ウェブフックの [SECRET KEY] で生成された API シークレット キー。

  12. [ログタイプ] リストから [Endpoint DLP] を選択します。

  13. [フィード出力タイプ] リストで [JSON] を選択します。

  14. [JSON Array Notation] を無効にします。

  15. [Feed Escape Character] を , \ " に設定します。

  16. フィード出力形式に新しいフィールドを追加するには、[フィード出力タイプ] リストで [カスタム] を選択します。

  17. [フィード出力形式] をコピーして貼り付け、新しいフィールドを追加します。キー名が実際のフィールド名と一致していることを確認します。

    デフォルトの [フィード出力形式] は次のとおりです。

    \{ "sourcetype" : "zscalernss-edlp", "event" :\{"time":"%s{time}","recordid":"%d{recordid}","login":"%s{user}","dept":"%s{department}","filetypename":"%s{filetypename}","filemd5":"%s{filemd5}","dlpdictnames":"%s{dlpdictnames}","dlpdictcount":"%s{dlpcounts}","dlpenginenames":"%s{dlpengnames}","channel":"%s{channel}","actiontaken":"%s{actiontaken}","severity":"%s{severity}","rulename":"%s{triggeredrulelabel}","itemdstname":"%s{itemdstname}"\}\}

  18. [タイムゾーン] リストで、出力ファイルの [時間] フィールドのタイムゾーンを選択します。デフォルトでは、タイムゾーンは組織のタイムゾーンに設定されています。

  19. 構成された設定を確認します。

  20. [保存] をクリックして接続をテストします。接続に成功すると、緑色のチェックマークと [Test Connectivity Successful: OK (200)] というメッセージが表示されます。

Google SecOps フィードの詳細については、Google SecOps フィードのドキュメントをご覧ください。各フィードタイプの要件については、タイプ別のフィード構成をご覧ください。

フィードの作成時に問題が発生した場合は、Google SecOps サポートにお問い合わせください。

サポートされている Zscaler DLP ログ形式

Zscaler DLP パーサーは JSON 形式のログをサポートしています。

サポートされている Zscaler DLP のサンプルログ

  • JSON:

    {
  "sourcetype": "zscalernss-edlp",
  "event": {
    "time": "Thu Jun 20 21:14:56 2024",
    "recordid": "7382697059455533057",
    "login": "dummy@domain.com",
    "dept": "General Group",
    "filetypename": "xlsx",
    "filemd5": "9a2d0d62c22994a98f65939ddcd3eb8f",
    "dlpdictnames": "Social Security Number (US): Detect leakage of United States Social Security Numbers|Credit Cards: Detect leakage of credit card information|Aadhaar Card Number (India): Detect Leakage of Indian Aadhaar Card Numbers",
    "dlpdictcount": "1428|141|81",
    "dlpenginenames": "Dummy Engine|cc|PCI|GLBA|HIPAA",
    "channel": "Removable Storage",
    "actiontaken": "Confirm Allow",
    "severity": "High Severity",
    "rulename": "Endpoint_DLP_",
    "itemdstname": "Removable Storage"
  }
}

UDM マッピング テーブル

次の表に、ZSCALER_DLP ログタイプのログ フィールドと、対応する UDM フィールドを示します。

Log field UDM mapping Logic
mon additional.fields[mon]
day additional.fields[day]
scantime additional.fields[scantime]
numdlpengids security_result.detection_fields[numdlpengids]
numdlpdictids security_result.detection_fields[numdlpdictids]
recordid metadata.product_log_id
scanned_bytes additional.fields[scanned_bytes]
dlpidentifier security_result.detection_fields[dlpidentifier]
login principal.user.user_display_name
b64user principal.user.user_display_name
euser principal.user.user_display_name
ouser principal.user.user_display_name
dept principal.user.department
b64department principal.user.department
edepartment principal.user.department
odepartment principal.user.department
odevicename security_result.detection_fields[odevicename]
devicetype principal.asset.attribute.labels[devicetype]
principal.asset.platform_software.platform If the deviceostype log field value matches the regular expression pattern (?i)Windows, then the principal.asset.platform_software.platform UDM field is set to WINDOWS.
devicename, b64devicename, edevicename, odevicename principal.asset.asset_id If the devicename log field value is not empty, then the asset_id:devicename log field is mapped to the principal.asset.asset_id UDM field.

If the b64devicename log field value is not empty, then the asset_id:b64devicename log field is mapped to the principal.asset.asset_id UDM field.

If the edevicename log field value is not empty, then the asset_id:edevicename log field is mapped to the principal.asset.asset_id UDM field.

If the odevicename log field value is not empty, then the asset_id:odevicename log field is mapped to the principal.asset.asset_id UDM field.
deviceplatform principal.asset.attribute.labels[deviceplatform]
deviceosversion principal.asset.platform_software.platform_version
devicemodel principal.asset.hardware.model
deviceappversion principal.asset.software.version
deviceowner principal.asset.attribute.labels[deviceowner]
b64deviceowner principal.asset.attribute.labels[b64deviceowner]
edeviceowner principal.asset.attribute.labels[edeviceowner]
odeviceowner principal.asset.attribute.labels[odeviceowner]
devicehostname principal.hostname
b64devicehostname principal.hostname
edevicehostname principal.hostname
odevicehostname principal.hostname
datacenter target.location.name
datacentercity target.location.city
datacentercountry target.location.country_or_region
dsttype target.resource.resource_subtype
filedoctype additional.fields[filedoctype]
filedstpath target.file.full_path
b64filedstpath target.file.full_path
efiledstpath target.file.full_path
filemd5 target.file.md5 If the filemd5 log field value matches the regular expression pattern ^[0-9a-f]+$, then the filemd5 log field is mapped to the target.file.md5 UDM field.
filesha target.file.sha256 If the filesha log field value matches the regular expression pattern ^[0-9a-f]+$, then the filesha log field is mapped to the target.file.sha256 UDM field.
filesrcpath src.file.full_path
b64filesrcpath src.file.full_path
efilesrcpath src.file.full_path
filetypecategory additional.fields[filetypecategory]
filetypename target.file.mime_type
itemdstname target.resource.name
b64itemdstname target.resource.name
eitemdstname target.resource.name
itemname target.resource.attribute.labels[itemname]
b64itemname target.resource.attribute.labels[b64itemname]
eitemname target.resource.attribute.labels[eitemname]
itemsrcname src.resource.name
b64itemsrcname src.resource.name
eitemsrcname src.resource.name
itemtype target.resource.attribute.labels[itemtype]
ofiledstpath target.file.full_path
ofilesrcpath src.file.full_path
oitemdstname target.resource.name
oitemname target.resource.attribute.labels[oitemname]
odlpengnames security_result.detection_fields[odlpengnames]
oitemsrcname src.resource.name
srctype src.resource.resource_subtype
actiontaken security_result.action_details
security_result.action If the actiontaken log field value matches the regular expression pattern (?i)allow, then the security_result.action UDM field is set to ALLOW.

Else, if the actiontaken log field value matches the regular expression pattern (?i)block, then the security_result.action UDM field is set to BLOCK.
activitytype metadata.product_event_type
addinfo additional.fields[addinfo]
channel security_result.detection_fields[channel]
confirmaction security_result.detection_fields[confirmaction]
confirmjust security_result.description
dlpdictcount security_result.detection_fields[dlpdictcount]
dlpdictnames security_result.detection_fields[dlpdictnames]
b64dlpdictnames security_result.detection_fields[b64dlpdictnames]
edlpdictnames security_result.detection_fields[edlpdictnames]
dlpenginenames security_result.detection_fields[dlpenginenames]
b64dlpengnames security_result.detection_fields[b64dlpengnames]
edlpengnames security_result.detection_fields[edlpengnames]
expectedaction security_result.detection_fields[expectedaction]
logtype security_result.category_details
odlpdictnames security_result.detection_fields[odlpdictnames]
ootherrulelabels security_result.rule_labels[ootherrulelabels]
otherrulelabels security_result.rule_labels[otherrulelabels]
b64otherrulelabels security_result.rule_labels[b64otherrulelabels]
eotherrulelabels security_result.rule_labels[eotherrulelabels]
otriggeredrulelabel security_result.rule_name
severity security_result.severity_details
security_result.severity If the severity log field value matches the regular expression pattern (?i)High, then the security_result.severity UDM field is set to HIGH.

Else, if the severity log field value matches the regular expression pattern (?i)Medium, then the security_result.severity UDM field is set to MEDIUM.

Else, if the severity log field value matches the regular expression pattern (?i)Low, then the security_result.severity UDM field is set to LOW.

Else, if the severity log field value matches the regular expression pattern (?i)Info, then the security_result.severity UDM field is set to INFORMATIONAL.
rulename security_result.rule_name
b64triggeredrulelabel security_result.rule_name
etriggeredrulelabel security_result.rule_name
zdpmode security_result.detection_fields[zdpmode]
tz additional.fields[tz]
ss additional.fields[ss]
mm additional.fields[mm]
hh additional.fields[hh]
dd additional.fields[dd]
mth additional.fields[mth]
yyyy additional.fields[yyyy]
sourcetype additional.fields[sourcetype]
eventtime metadata.event_timestamp
time metadata.collected_timestamp
rtime additional.fields[rtime]
metadata.vendor_name The metadata.vendor_name UDM field is set to Zscaler.
metadata.product_name The metadata.product_name UDM field is set to DLP.
metadata.event_type If the activitytype log field value is one of the following, then the metadata.event_type UDM field is set to FILE_UNCATEGORIZED:
  • Upload
  • Download
Else, if the activitytype log field value is File Copy, then the metadata.event_type UDM field is set to FILE_COPY.

Else, if the activitytype log field value is File Read, then the metadata.event_type UDM field is set to FILE_READ.

Else, if the activitytype log field value is File Write, then the metadata.event_type UDM field is set to FILE_MODIFICATION.

Else, if the activitytype log field value is Email Sent, then the metadata.event_type UDM field is set to EMAIL_UNCATEGORIZED.

Else, if the activitytype log field value is Print, then the metadata.event_type UDM field is set to STATUS_UPDATE.

Else, if one of the devicehostname, b64devicehostname, edevicehostname, or odevicehostname log fields is not empty, and one of the filedstpath, b64filedstpath, efiledstpath, ofiledstpath, filemd5, filesha, or filetypename log fields is not empty, then if one of the filesrcpath, b64filesrcpath, efilesrcpath, or ofiledstpath log fields is not empty, the metadata.event_type UDM field is set to FILE_COPY, otherwise it is set to FILE_UNCATEGORIZED.

Else, if one of the devicehostname, b64devicehostname, edevicehostname, or odevicehostname log fields is not empty, then the metadata.event_type UDM field is set to STATUS_UPDATE.

Else, the metadata.event_type UDM field is set to GENERIC_EVENT.

UDM マッピングの差分

次の表に、ZSCALER DLP の古い UDM マッピングと ZSCALER DLP の新しい UDM マッピングの差分を示します。

UDM Field Mapping Delta

Raw Field Old UDM Mapping New UDM Mapping Logic
numdlpengids additional.fields[numdlpengids] security_result.detection_fields[numdlpengids]
numdlpdictids additional.fields[numdlpdictids] security_result.detection_fields[numdlpdictids]
ouser security_result.detection_fields[ouser] principal.user.user_display_name
odepartment security_result.detection_fields[odepartment] principal.user.department
odevicename security_result.detection_fields[odevicename] principal.asset.asset_id If the odevicename log field value is not empty, then the asset_id:odevicename log field is mapped to the principal.asset.asset_id UDM field.
deviceappversion additional.fields[deviceappversion] principal.asset.software.version
deviceowner principal.user.userid principal.asset.attribute.labels[deviceowner]
b64deviceowner principal.user.userid principal.asset.attribute.labels[b64deviceowner]
edeviceowner principal.user.userid principal.asset.attribute.labels[edeviceowner]
odeviceowner security_result.detection_fields[odeviceowner] principal.asset.attribute.labels[odeviceowner]
odevicehostname security_result.detection_fields[odevicehostname] principal.hostname
eitemname target.resource.attribute.labels[itemname] target.resource.attribute.labels[eitemname]
b64itemname target.resource.attribute.labels[itemname] target.resource.attribute.labels[b64itemname]
ofiledstpath security_result.detection_fields[ofiledstpath] target.file.full_path
ofilesrcpath security_result.detection_fields[ofilesrcpath] src.file.full_path
oitemdstname security_result.detection_fields[oitemdstname] target.resource.name
oitemname security_result.detection_fields[oitemname] target.resource.attribute.labels[oitemname]
oitemsrcname security_result.detection_fields[oitemsrcname] src.resource.name
edlpdictnames security_result.detection_fields[dlpdictnames] security_result.detection_fields[edlpdictnames]
b64dlpdictnames security_result.detection_fields[dlpdictnames] security_result.detection_fields[b64dlpdictnames]
edlpengnames security_result.detection_fields[dlpenginenames] security_result.detection_fields[edlpengnames]
b64dlpengnames security_result.detection_fields[dlpenginenames] security_result.detection_fields[b64dlpengnames]
ootherrulelabels security_result.detection_fields[ootherrulelabels] security_result.rule_labels[ootherrulelabels]
eotherrulelabels security_result.rule_labels[otherrulelabels] security_result.rule_labels[eotherrulelabels]
b64otherrulelabels security_result.rule_labels[otherrulelabels] security_result.rule_labels[b64otherrulelabels]
otriggeredrulelabel security_result.rule_labels[otriggeredrulelabel] security_result.rule_name

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。