Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Zscaler ZPA-Audit-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird erläutert, wie Sie Zscaler ZPA-Audit-Logs exportieren, indem Sie den Bindplane-Agent einrichten. Außerdem wird beschrieben, wie Logfelder Google SecOps-Feldern des einheitlichen Datenmodells (Unified Data Model, UDM) zugeordnet werden.

Weitere Informationen finden Sie unter Datenaufnahme in Google SecOps – Übersicht.

Eine typische Bereitstellung besteht aus Zscaler ZPA Audit und dem Bindplane-Agent, der so konfiguriert ist, dass Logs an Google Security Operations gesendet werden. Jede Kundenbereitstellung kann unterschiedlich und komplexer sein.

Die Bereitstellung enthält die folgenden Komponenten:

Zscaler ZPA Audit: Die Plattform, von der Sie Logs erfassen.
Bindplane-Agent: Der Bindplane-Agent ruft Logs von Zscaler ZPA Audit ab und sendet sie an Google Security Operations.
Google SecOps: Behält und analysiert die Logs.

Ein Aufnahmelabel identifiziert den Parser, der Logrohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument gelten für den Parser mit dem Label ZSCALER_ZPA_AUDIT.

Hinweis

Sie müssen Zscaler ZPA Audit 2024 oder höher verwenden.
Sie benötigen Zugriff auf die Zscaler Private Access-Konsole. Weitere Informationen finden Sie in der Hilfe zu Secure Private Access (ZPA).
Alle Systeme in der Bereitstellungsarchitektur müssen mit der UTC-Zeitzone konfiguriert sein.

Logempfänger in Zscaler Private Access konfigurieren

So konfigurieren und verwalten Sie den Logempfänger in Zscaler Private Access:

Logempfänger hinzufügen

Wählen Sie Configuration & Control > Private Infrastructure > Log Streaming Service > Log Receivers aus und klicken Sie dann auf Add Log Receiver.
Gehen Sie auf dem Tab Log Receiver so vor:
1. Geben Sie im Feld Name den Namen für den Logempfänger ein.
2. Geben Sie im Feld Description eine Beschreibung ein.
3. Geben Sie im Feld Domain or IP Address den voll qualifizierten Domainnamen (Fully Qualified Domain Name, FQDN) oder die IP-Adresse für den Logempfänger ein.
4. Geben Sie im Feld TCP Port die TCP-Portnummer ein, die vom Logempfänger verwendet wird.
5. Wählen Sie unter TLS Encryption den Verschlüsselungstyp aus, um die Verschlüsselung des Traffics zwischen dem App Connector und dem Logempfänger zu aktivieren oder zu deaktivieren. Standardmäßig ist diese Einstellung deaktiviert.
6. Wählen Sie in der Liste App Connector groups die App Connector-Gruppen aus, die Logs an den Empfänger weiterleiten können, und klicken Sie auf Done.
7. Klicken Sie auf Next.
Gehen Sie auf dem Tab Log Stream so vor:
1. Wählen Sie im Menü einen Log Type aus.
2. Wählen Sie im Menü eine Log Template aus.
3. Kopieren Sie den Log Stream Content und fügen Sie neue Felder hinzu. Die Schlüsselnamen müssen mit den tatsächlichen Feldnamen übereinstimmen.
  
  Das ist der Standardwert für Log Stream Content für den Logtyp „Audit“:
```
{"ModifiedTime":%j{modifiedTime:iso8601},"CreationTime":%j{creationTime:iso8601},"ModifiedBy":%d{modifiedBy},"RequestID":%j{requestId},"SessionID":%j{sessionId},"AuditOldValue":%j{auditOldValue},"AuditNewValue":%j{auditNewValue},"AuditOperationType":%j{auditOperationType},"ObjectType":%j{objectType},"ObjectName":%j{objectName},"ObjectID":%d{objectId},"CustomerID":%d{customerId},"User":%j{modifiedByUser},"ClientAuditUpdate":%d{clientAuditUpdate}}\n
```
4. Klicken Sie unter SAML Attributes auf Select IdP und wählen Sie die IdP-Konfiguration aus, die Sie in die Richtlinie aufnehmen möchten.
5. Wählen Sie im Menü Application Segments die Anwendungssegmente aus, die Sie einbeziehen möchten, und klicken Sie auf Done.
6. Wählen Sie im Menü Segment Groups die Segmentgruppen aus, die Sie einbeziehen möchten, und klicken Sie auf Done.
7. Wählen Sie im Menü Client Types die Clienttypen aus, die Sie einbeziehen möchten, und klicken Sie auf Done.
8. Wählen Sie im Menü Session Statuses die Sitzungsstatuscodes aus, die Sie ausschließen möchten, und klicken Sie auf Done.
9. Klicken Sie auf Next.
Prüfen Sie auf dem Tab Review die Konfiguration des Logempfängers und klicken Sie auf Save.

Hinweis:Der Gold-Parser ZSCALER_ZPA_AUDIT unterstützt nur das JSON-Logformat. Wählen Sie daher beim Konfigurieren des Logstreams im Menü JSON als Log Template aus.

Logempfänger kopieren

Wählen Sie Control > Private Infrastructure > Log Streaming Service > Log Receivers aus.
Suchen Sie in der Tabelle den Logempfänger, den Sie ändern möchten, und klicken Sie auf Copy.
Ändern Sie im Fenster Add Log Receiver die Felder nach Bedarf. Weitere Informationen zu den einzelnen Feldern finden Sie im Abschnitt Logempfänger hinzufügen.
Klicken Sie auf Save.

Logempfänger bearbeiten

Wählen Sie Control > Private Infrastructure > Log Streaming Service > Log Receivers aus.
Suchen Sie in der Tabelle den Logempfänger, den Sie ändern möchten, und klicken Sie auf Edit.
Ändern Sie im Fenster Edit Log Receiver die Felder nach Bedarf. Weitere Informationen zu den einzelnen Feldern finden Sie im Abschnitt Logempfänger hinzufügen.
Klicken Sie auf Save.

Logempfänger löschen

Wählen Sie Control > Private Infrastructure > Log Streaming Service > Log Receivers aus.
Suchen Sie in der Tabelle den Logempfänger, den Sie ändern möchten, und klicken Sie auf Delete.
Klicken Sie im Fenster Confirmation auf Delete.

Logs mit dem Bindplane-Agent an Google SecOps weiterleiten

Installieren und richten Sie eine virtuelle Linux-Maschine ein.
Installieren und konfigurieren Sie den Bindplane-Agent unter Linux, um Logs an Google SecOps weiterzuleiten. Weitere Informationen zum Installieren und Konfigurieren des Bindplane-Agent finden Sie in der Installations- und Konfigurationsanleitung für den Bindplane-Agent.

Wenn beim Erstellen von Feeds Probleme auftreten, wenden Sie sich an den Google SecOps-Support.

Unterstützte Zscaler ZPA-Audit-Logformate

Der Zscaler ZPA-Audit-Parser unterstützt Logs im JSON-Format.

Unterstützte Zscaler ZPA-Audit-Beispiellogs

JSON:

{
  "ModifiedTime": "",
  "CreationTime": "2024-06-29T05:06:34.000Z",
  "ModifiedBy": 216193796315021769,
  "RequestID": "ed500dfb-c66d-4ec2-b97e-ec2018c811f4",
  "SessionID": "v2t27ixe6qs21cffpzy6jx1zv",
  "AuditOldValue": "",
  "AuditNewValue": "{\\"loginAttempt\\":\\"2024-06-29 05: 06: 34 UTC\\",\\"remoteIP\\":\\"198.51.100.0\\"}",
  "AuditOperationType": "Sign In",
  "ObjectType": "Authentication",
  "ObjectName": "",
  "ObjectID": 0,
  "CustomerID": dummy_customer_id,
  "User": "abc.xyz.com",
  "ClientAuditUpdate": 0
}

UDM-Zuordnungstabelle

Feldzuordnung – Referenz: ZSCALER_ZPA_AUDIT

In der folgenden Tabelle sind die Logfelder des Logtyps ZSCALER_ZPA_AUDIT und die entsprechenden UDM-Felder aufgeführt.

Log field	UDM mapping	Logic
	`metadata.product_name`	The `metadata.product_name` UDM field is set to `Zscaler Private Access`.
	`metadata.vendor_name`	The `metadata.vendor_name` UDM field is set to `Zscaler`.
`CreationTime`	`metadata.event_timestamp`
`RequestID`	`metadata.product_log_id`
`SessionID`	`network.session_id`
	`metadata.event_type`	If the `AuditOperationType` log field value is not empty, then if the `AuditOperationType` log field value is equal to `Create`, then the `metadata.event_type` UDM field is set to `RESOURCE_CREATION`. Else, if the `AuditOperationType` log field value is equal to `Client Session Revoked`, then the `metadata.event_type` UDM field is set to `USER_LOGOUT`. Else, if the `AuditOperationType` log field value is equal to `Delete`, then the `metadata.event_type` UDM field is set to `RESOURCE_DELETION`. Else, if the `AuditOperationType` log field value is equal to `Download`, then the `metadata.event_type` UDM field is set to `USER_RESOURCE_ACCESS`. Else, if the `AuditOperationType` log field value is equal to `Sign In`, then the `metadata.event_type` UDM field is set to `USER_LOGIN`. Else, if the `AuditOperationType` log field value is equal to `Sign In Failure`, then the `metadata.event_type` UDM field is set to `USER_LOGIN`. Else, if the `AuditOperationType` log field value is equal to `Sign Out`, then the `metadata.event_type` UDM field is set to `USER_LOGOUT`. Else, if the `AuditOperationType` log field value is equal to `Session Time Out`, then the `metadata.event_type` UDM field is set to `USER_LOGOUT`. Else, if the `AuditOperationType` log field value is equal to `Update`, then the `metadata.event_type` UDM field is set to `USER_RESOURCE_UPDATE_CONTENT`.
	`metadata.product_event_type`	If the `AuditOperationType` log field value is not empty, then if the `AuditOperationType` log field value is equal to `Create`, then the `metadata.product_event_type` UDM field is set to `create`. Else, if the `AuditOperationType` log field value is equal to `Client Session Revoked`, then the `metadata.product_event_type` UDM field is set to `client session revoked`. Else, if the `AuditOperationType` log field value is equal to `Delete`, then the `metadata.product_event_type` UDM field is set to `delete`. Else, if the `AuditOperationType` log field value is equal to `Download`, then the `metadata.product_event_type` UDM field is set to `download`. Else, if the `AuditOperationType` log field value is equal to `Sign In`, then the `metadata.product_event_type` UDM field is set to `user_login`. Else, if the `AuditOperationType` log field value is equal to `Sign In Failure`, then the `metadata.product_event_type` UDM field is set to `user_login_fail`. Else, if the `AuditOperationType` log field value is equal to `Sign Out`, then the `metadata.product_event_type` UDM field is set to `user_logout`. Else, if the `AuditOperationType` log field value is equal to `Session Time Out`, then the `metadata.product_event_type` UDM field is set to `session time out`. Else, if the `AuditOperationType` log field value is equal to `Update`, then the `metadata.product_event_type` UDM field is set to `update`.
	`security_result.action`	If the `AuditOperationType` log field value is not empty, then if the `AuditOperationType` log field value is equal to `Client Session Revoked`, then the `security_result.action` UDM field is set to `BLOCK`. Else, if the `AuditOperationType` log field value is equal to `Sign In`, then the `security_result.action` UDM field is set to `ALLOW`. Else, if the `AuditOperationType` log field value is equal to `Sign In Failure`, then the `security_result.action` UDM field is set to `FAIL`.
`ObjectType`	`target.resource.resource_subtype`
`ObjectID`	`target.resource.product_object_id`
`ObjectName`	`target.resource.name`
`ModifiedTime`	`target.resource.attribute.labels[ModifiedTime]`
`ModifiedBy`	`principal.user.userid`	If the `Audit Operation Type` log field value contain one of the following values, then the `ModifiedBy` log field is mapped to the `principal.user.userid` UDM field. `Create` `Delete` `Update` `Download`
`ModifiedBy`	`target.user.userid`	If the `Audit Operation Type` log field value contain one of the following values, then the `ModifiedBy` log field is mapped to the `target.user.userid` UDM field. `Sign In` `Sign In Failure` `Sign Out` `Client Session Revoked` `Session Time Out`
`User`	`principal.user.email_addresses`	If the `Audit Operation Type` log field value contain one of the following values and the `User` log field value matches the regular expression pattern `(^.@.$)`, then the `User` log field is mapped to the `principal.user.email_addresses` UDM field. `Create` `Delete` `Update` `Download`
`User`	`principal.user.user_display_name`	If the `Audit Operation Type` log field value contain one of the following values and the `User` log field value not matches the regular expression pattern `(^.@.$)`, then the `User` log field is mapped to the `principal.user.user_display_name` UDM field. `Create` `Delete` `Update` `Download`
`User`	`target.user.email_addresses`	If the `Audit Operation Type` log field value contain one of the following values and the `User` log field value matches the regular expression pattern `(^.@.$)`, then the `User` log field is mapped to the `target.user.email_addresses` UDM field. `Sign In` `Sign In Failure` `Sign Out` `Client Session Revoked` `Session Time Out`
`User`	`target.user.user_display_name`	If the `Audit Operation Type` log field value contain one of the following values and the `User` log field value not matches the regular expression pattern `(^.@.$)`, then the `User` log field is mapped to the `target.user.user_display_name` UDM field. `Sign In` `Sign In Failure` `Sign Out` `Client Session Revoked` `Session Time Out`
`AuditOldValue`	`additional.fields[AuditOldValue]`	Iterate through AuditOldValue object: The `AuditOldValue object key` is mapped to the `additional.fields.key` UDM field and `AuditOldValue object value` is mapped to the `additional.fields.value` UDM field.
`AuditNewValue`	`additional.fields[AuditNewValue]`	Iterate through AuditNewValue object: The `AuditNewValue object key` is set to the `additional.fields.key` UDM field and `AuditNewValue object value` is mapped to the `additional.fields.value` UDM field.
`CustomerID`	`metadata.product_deployment_id`
`ClientAuditUpdate`	`additional.fields[ClientAuditUpdate]`

Änderungsprotokoll

Änderungsprotokoll für diesen Parser ansehen

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten