收集 Zscaler ZPA 审核日志

支持的平台:

本文档介绍了如何通过设置 Bindplane 代理导出 Zscaler ZPA 审核日志,以及日志字段如何映射到 Google SecOps Unified Data Model (UDM) 字段。

如需了解详情,请参阅 Google SecOps 数据提取概览

典型部署包括 Zscaler ZPA Audit 和配置为将日志发送到 Google Security Operations 的 Bindplane 代理。每个客户部署都可能有所不同,并且可能更复杂。

部署包含以下组件:

  • Zscaler ZPA 审核:您从中收集日志的平台。

  • Bindplane 代理:Bindplane 代理从 Zscaler ZPA Audit 中提取日志,并将日志发送到 Google Security Operations。

  • Google SecOps:保留并分析日志。

注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 ZSCALER_ZPA_AUDIT 标签的解析器。

准备工作

  • 确保您使用的是 Zscaler ZPA Audit 2024 或更高版本。
  • 确保您有权访问 Zscaler Private Access 控制台。如需了解详情,请参阅 Secure Private Access (ZPA) 帮助
  • 确保部署架构中的所有系统都使用世界协调时间 (UTC) 时区进行配置。

在 Zscaler Private Access 中配置日志接收器

请按以下步骤在 Zscaler Private Access 中配置和管理日志接收器:

添加日志接收器

  1. 依次选择配置和控制 > 私有基础架构 > 日志流式传输服务 > 日志接收器,然后点击添加日志接收器
  2. 日志接收器标签页中,执行以下操作:
    1. 名称字段中,输入日志接收器的名称。
    2. 说明字段中,输入说明。
    3. 网域或 IP 地址字段中,输入日志接收器的完全限定域名 (FQDN) 或 IP 地址。
    4. TCP 端口字段中,输入日志接收器使用的 TCP 端口号。
    5. TLS 加密中选择加密类型,以启用或停用应用连接器与日志接收器之间的流量加密。默认情况下,此设置处于停用状态。
    6. 应用连接器组列表中,选择可将日志转发到接收器的应用连接器组,然后点击完成
    7. 点击下一步

  3. 日志流标签页中,执行以下操作:

    1. 从菜单中选择日志类型
    2. 从菜单中选择日志模板

    3. 复制粘贴 Log Stream Content 并添加新字段。确保键名与实际字段名称一致。

      以下是审核日志类型的默认日志流内容

      {"ModifiedTime":%j{modifiedTime:iso8601},"CreationTime":%j{creationTime:iso8601},"ModifiedBy":%d{modifiedBy},"RequestID":%j{requestId},"SessionID":%j{sessionId},"AuditOldValue":%j{auditOldValue},"AuditNewValue":%j{auditNewValue},"AuditOperationType":%j{auditOperationType},"ObjectType":%j{objectType},"ObjectName":%j{objectName},"ObjectID":%d{objectId},"CustomerID":%d{customerId},"User":%j{modifiedByUser},"ClientAuditUpdate":%d{clientAuditUpdate}}\n

    4. SAML 属性中,点击选择 IdP,然后选择要包含在政策中的 IdP 配置。

    5. 应用细分菜单中,选择要纳入的应用细分,然后点击完成

    6. 细分群组菜单中,选择要添加的细分群组,然后点击完成

    7. 客户类型菜单中,选择要纳入的客户类型,然后点击完成

    8. 会话状态菜单中,选择要排除的会话状态代码,然后点击完成

    9. 点击下一步

  4. 查看标签页中,查看您的日志接收器配置,然后点击保存

注意ZSCALER_ZPA_AUDIT Gold 解析器仅支持 JSON 日志格式,因此在配置日志流时,请务必从菜单中选择 JSON 作为日志模板

复制日志接收器

  1. 依次选择控制 > 私有基础架构 > 日志流式传输服务 > 日志接收器
  2. 在表格中,找到要修改的日志接收器,然后点击复制
  3. 添加日志接收器窗口中,根据需要修改字段。如需详细了解每个字段,请参阅添加日志接收器部分中的步骤。
  4. 点击保存

修改日志接收器

  1. 依次选择控制 > 私有基础架构 > 日志流式传输服务 > 日志接收器
  2. 在表格中,找到要修改的日志接收器,然后点击修改
  3. 修改日志接收器窗口中,根据需要修改字段。如需详细了解每个字段,请参阅添加日志接收器部分中的步骤。
  4. 点击保存

删除日志接收器

  1. 依次选择控制 > 私有基础架构 > 日志流式传输服务 > 日志接收器
  2. 在表格中,找到要修改的日志接收器,然后点击删除
  3. 确认窗口中,点击删除

使用 Bindplane 代理将日志转发到 Google SecOps

  1. 安装并设置 Linux 虚拟机
  2. 在 Linux 上安装和配置 Bindplane 代理,以将日志转发到 Google SecOps。如需详细了解如何安装和配置 Bindplane 代理,请参阅 Bindplane 代理安装和配置说明

如果您在创建 Feed 时遇到问题,请与 Google SecOps 支持团队联系。

支持的 Zscaler ZPA 审核日志格式

Zscaler ZPA 审核解析器支持 JSON 格式的日志。

支持的 Zscaler ZPA 审核日志示例

  • JSON:

    {
  "ModifiedTime": "",
  "CreationTime": "2024-06-29T05:06:34.000Z",
  "ModifiedBy": 216193796315021769,
  "RequestID": "ed500dfb-c66d-4ec2-b97e-ec2018c811f4",
  "SessionID": "v2t27ixe6qs21cffpzy6jx1zv",
  "AuditOldValue": "",
  "AuditNewValue": "{\\"loginAttempt\\":\\"2024-06-29 05: 06: 34 UTC\\",\\"remoteIP\\":\\"198.51.100.0\\"}",
  "AuditOperationType": "Sign In",
  "ObjectType": "Authentication",
  "ObjectName": "",
  "ObjectID": 0,
  "CustomerID": dummy_customer_id,
  "User": "abc.xyz.com",
  "ClientAuditUpdate": 0
}

UDM 映射表

字段映射参考信息:ZSCALER_ZPA_AUDIT

下表列出了 ZSCALER_ZPA_AUDIT 日志类型的日志字段及其对应的 UDM 字段。

Log field UDM mapping Logic
metadata.product_name The metadata.product_name UDM field is set to ZPA Audit.
metadata.vendor_name The metadata.vendor_name UDM field is set to Zscaler.
CreationTime metadata.event_timestamp
RequestID metadata.product_log_id
SessionID network.session_id
metadata.event_type If the AuditOperationType log field value is not empty, then if the AuditOperationType log field value is equal to Create, then the metadata.event_type UDM field is set to RESOURCE_CREATION.

Else, if the AuditOperationType log field value is equal to Client Session Revoked, then the metadata.event_type UDM field is set to USER_LOGOUT.

Else, if the AuditOperationType log field value is equal to Delete, then the metadata.event_type UDM field is set to RESOURCE_DELETION.

Else, if the AuditOperationType log field value is equal to Download, then the metadata.event_type UDM field is set to USER_RESOURCE_ACCESS.

Else, if the AuditOperationType log field value is equal to Sign In, then the metadata.event_type UDM field is set to USER_LOGIN.

Else, if the AuditOperationType log field value is equal to Sign In Failure, then the metadata.event_type UDM field is set to USER_LOGIN.

Else, if the AuditOperationType log field value is equal to Sign Out, then the metadata.event_type UDM field is set to USER_LOGOUT.

Else, if the AuditOperationType log field value is equal to Session Time Out, then the metadata.event_type UDM field is set to USER_LOGOUT.

Else, if the AuditOperationType log field value is equal to Update, then the metadata.event_type UDM field is set to USER_RESOURCE_UPDATE_CONTENT.
metadata.product_event_type If the AuditOperationType log field value is not empty, then if the AuditOperationType log field value is equal to Create, then the metadata.product_event_type UDM field is set to create.

Else, if the AuditOperationType log field value is equal to Client Session Revoked, then the metadata.product_event_type UDM field is set to client session revoked.

Else, if the AuditOperationType log field value is equal to Delete, then the metadata.product_event_type UDM field is set to delete.

Else, if the AuditOperationType log field value is equal to Download, then the metadata.product_event_type UDM field is set to download.

Else, if the AuditOperationType log field value is equal to Sign In, then the metadata.product_event_type UDM field is set to user_login.

Else, if the AuditOperationType log field value is equal to Sign In Failure, then the metadata.product_event_type UDM field is set to user_login_fail.

Else, if the AuditOperationType log field value is equal to Sign Out, then the metadata.product_event_type UDM field is set to user_logout.

Else, if the AuditOperationType log field value is equal to Session Time Out, then the metadata.product_event_type UDM field is set to session time out.

Else, if the AuditOperationType log field value is equal to Update, then the metadata.product_event_type UDM field is set to update.
security_result.action If the AuditOperationType log field value is not empty, then if the AuditOperationType log field value is equal to Client Session Revoked, then the security_result.action UDM field is set to BLOCK.

Else, if the AuditOperationType log field value is equal to Sign In, then the security_result.action UDM field is set to ALLOW.

Else, if the AuditOperationType log field value is equal to Sign In Failure, then the security_result.action UDM field is set to FAIL.
ObjectType target.resource.resource_subtype
ObjectID target.resource.product_object_id
ObjectName target.resource.name
ModifiedTime target.resource.attribute.labels[ModifiedTime]
ModifiedBy principal.user.userid
User principal.user.email_addresses
AuditOldValue additional.fields[AuditOldValue] Iterate through AuditOldValue object: The AuditOldValue object key is mapped to the additional.fields.key UDM field and AuditOldValue object value is mapped to the additional.fields.value UDM field.
AuditNewValue additional.fields[AuditNewValue] Iterate through AuditNewValue object: The AuditNewValue object key is set to the additional.fields.key UDM field and AuditNewValue object value is mapped to the additional.fields.value UDM field.
CustomerID target.user.userid
ClientAuditUpdate additional.fields[ClientAuditUpdate]

UDM 映射增量

下表列出了 ZSCALER ZPA AUDIT 的旧 UDM 映射与 ZSCALER ZPA AUDIT 的新 UDM 映射之间的差值。

UDM Field Mapping Delta

Raw Field Old UDM Mapping New UDM Mapping Logic
CustomerID target.user.userid metadata.product_deployment_id
ModifiedBy principal.user.userid target.user.userid
User principal.user.email_addresses target.user.email_addresses If the Audit Operation Type log field value contain one of the following values and the User log field value matches the regular expression pattern (^.@.$), then the UserID log field is mapped to the target.user.email_addresses UDM field.
  • Sign In
  • Sign In Failure
  • Sign Out
  • Client Session Revoked
  • Session Time Out
User principal.user.user_display_name target.user.user_display_name If the Audit Operation Type log field value contain one of the following values and the User log field value not matches the regular expression pattern (^.@.$), then the UserID log field is mapped to the target.user.user_display_name UDM field.
  • Sign In
  • Sign In Failure
  • Sign Out
  • Client Session Revoked
  • Session Time Out

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。