Coletar registros de auditoria do Zscaler ZPA

Compatível com:

Google SecOps SIEM

Este documento explica como exportar registros de auditoria do Zscaler ZPA configurando o agente do Bindplane e como os campos de registro são mapeados para os campos do modelo de dados unificado (UDM) do Google SecOps.

Para mais informações, consulte Visão geral da ingestão de dados no Google SecOps.

Uma implantação típica consiste na auditoria do Zscaler ZPA e no agente do Bindplane configurado para enviar registros ao Google Security Operations. Cada implantação de cliente pode ser diferente e mais complexa.

A implantação contém os seguintes componentes:

Auditoria do Zscaler ZPA: a plataforma de que você coleta registros.
Agente do Bindplane: busca registros da auditoria do Zscaler ZPA e os envia para as Operações de segurança do Google.
Google SecOps: retém e analisa os registros.

Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador com o rótulo ZSCALER_ZPA_AUDIT.

Antes de começar

Verifique se você está usando o Zscaler ZPA Audit 2024 ou uma versão mais recente.
Verifique se você tem acesso ao console do Zscaler Private Access. Para mais informações, consulte a Ajuda do acesso privado seguro (ZPA).
Confira se todos os sistemas na arquitetura de implantação estão configurados com o fuso horário UTC.

Configurar o receptor de registros no Zscaler Private Access

Siga estas etapas para configurar e gerenciar o receptor de registros no Zscaler Private Access:

Adicionar um receptor de registros

Selecione Configuração e controle > Infraestrutura particular > Serviço de streaming de registros > Receptores de registros e clique em Adicionar receptor de registros.
Na guia Receptor de registros, faça o seguinte:
1. No campo Nome, insira o nome do receptor de registros.
2. No campo Descrição, insira uma descrição.
3. No campo Domínio ou endereço IP, insira o nome de domínio totalmente qualificado (FQDN) ou o endereço IP do receptor de registros.
4. No campo Porta TCP, insira o número da porta TCP usada pelo receptor de registros.
5. Selecione o tipo de criptografia em Criptografia TLS para ativar ou desativar a criptografia do tráfego entre o App Connector e o receptor de registros. Por padrão, essa configuração fica desativada.
6. Na lista Grupos do App Connector, escolha os grupos que podem encaminhar registros ao receptor e clique em Concluído.
7. Clique em Próxima.
Na guia Fluxo de registros, faça o seguinte:
1. Selecione um Tipo de registro no menu.
2. Selecione um modelo de registro no menu.
3. Copie e cole o Conteúdo do fluxo de registros e adicione novos campos. Verifique se os nomes das chaves correspondem aos nomes dos campos.
  
  Confira a seguir o Conteúdo do fluxo de registros padrão para o tipo de registro de auditoria:
```
{"ModifiedTime":%j{modifiedTime:iso8601},"CreationTime":%j{creationTime:iso8601},"ModifiedBy":%d{modifiedBy},"RequestID":%j{requestId},"SessionID":%j{sessionId},"AuditOldValue":%j{auditOldValue},"AuditNewValue":%j{auditNewValue},"AuditOperationType":%j{auditOperationType},"ObjectType":%j{objectType},"ObjectName":%j{objectName},"ObjectID":%d{objectId},"CustomerID":%d{customerId},"User":%j{modifiedByUser},"ClientAuditUpdate":%d{clientAuditUpdate}}\n
```
4. Em Atributos SAML, clique em Selecionar IdP e escolha a configuração do IdP que você quer incluir na política.
5. No menu Segmentos de aplicativo, selecione os segmentos que você quer incluir e clique em Concluído.
6. No menu Grupos de segmentos, selecione os grupos que você quer incluir e clique em Concluído.
7. No menu Tipos de cliente, selecione os tipos que você quer incluir e clique em Concluído.
8. No menu Status da sessão, selecione os códigos de status que você quer excluir e clique em Concluído.
9. Clique em Próxima.
Na guia Revisar, confira a configuração do receptor de registros e clique em Salvar.

Observação:o analisador ZSCALER_ZPA_AUDIT Gold só aceita o formato de registro JSON. Portanto, selecione JSON como Modelo de registro no menu ao configurar o fluxo de registros.

Copiar um receptor de registros

Selecione Controle > Infraestrutura particular > Serviço de streaming de registros > Receptores de registros.
Na tabela, localize o receptor de registros que você quer modificar e clique em Copiar.
Na janela Adicionar receptor de registros, modifique os campos conforme necessário. Para saber mais sobre cada campo, consulte o procedimento na seção Adicionar um receptor de registros.
Clique em Salvar.

Editar um receptor de registros

Selecione Controle > Infraestrutura particular > Serviço de streaming de registros > Receptores de registros.
Na tabela, localize o receptor de registros que você quer modificar e clique em Editar.
Na janela Editar receptor de registros, modifique os campos conforme necessário. Para saber mais sobre cada campo, consulte o procedimento na seção Adicionar um receptor de registros.
Clique em Salvar.

Excluir um receptor de registros

Selecione Controle > Infraestrutura particular > Serviço de streaming de registros > Receptores de registros.
Na tabela, localize o receptor de registros que você quer modificar e clique em Excluir.
Na janela Confirmação, clique em Excluir.

Encaminhar registros para o Google SecOps usando o agente do Bindplane

Instale e configure uma máquina virtual Linux.
Instale e configure o agente do Bindplane no Linux para encaminhar registros ao Google SecOps. Para mais informações sobre como instalar e configurar o agente do Bindplane, consulte as instruções de instalação e configuração do agente do Bindplane.

Se você tiver problemas ao criar feeds, entre em contato com o suporte do Google SecOps.

Formatos de registro de auditoria do Zscaler ZPA compatíveis

O analisador de auditoria do ZPA da Zscaler é compatível com registros no formato JSON.

Exemplos de registros de auditoria do Zscaler ZPA compatíveis

JSON:

{
  "ModifiedTime": "",
  "CreationTime": "2024-06-29T05:06:34.000Z",
  "ModifiedBy": 216193796315021769,
  "RequestID": "ed500dfb-c66d-4ec2-b97e-ec2018c811f4",
  "SessionID": "v2t27ixe6qs21cffpzy6jx1zv",
  "AuditOldValue": "",
  "AuditNewValue": "{\\"loginAttempt\\":\\"2024-06-29 05: 06: 34 UTC\\",\\"remoteIP\\":\\"198.51.100.0\\"}",
  "AuditOperationType": "Sign In",
  "ObjectType": "Authentication",
  "ObjectName": "",
  "ObjectID": 0,
  "CustomerID": dummy_customer_id,
  "User": "abc.xyz.com",
  "ClientAuditUpdate": 0
}

Tabela de mapeamento do UDM

Referência de mapeamento de campo: ZSCALER_ZPA_AUDIT

A tabela a seguir lista os campos de registro do tipo ZSCALER_ZPA_AUDIT e os campos correspondentes da UDM.

Log field	UDM mapping	Logic
	`metadata.product_name`	The `metadata.product_name` UDM field is set to `Zscaler Private Access`.
	`metadata.vendor_name`	The `metadata.vendor_name` UDM field is set to `Zscaler`.
`CreationTime`	`metadata.event_timestamp`
`RequestID`	`metadata.product_log_id`
`SessionID`	`network.session_id`
	`metadata.event_type`	If the `AuditOperationType` log field value is not empty, then if the `AuditOperationType` log field value is equal to `Create`, then the `metadata.event_type` UDM field is set to `RESOURCE_CREATION`. Else, if the `AuditOperationType` log field value is equal to `Client Session Revoked`, then the `metadata.event_type` UDM field is set to `USER_LOGOUT`. Else, if the `AuditOperationType` log field value is equal to `Delete`, then the `metadata.event_type` UDM field is set to `RESOURCE_DELETION`. Else, if the `AuditOperationType` log field value is equal to `Download`, then the `metadata.event_type` UDM field is set to `USER_RESOURCE_ACCESS`. Else, if the `AuditOperationType` log field value is equal to `Sign In`, then the `metadata.event_type` UDM field is set to `USER_LOGIN`. Else, if the `AuditOperationType` log field value is equal to `Sign In Failure`, then the `metadata.event_type` UDM field is set to `USER_LOGIN`. Else, if the `AuditOperationType` log field value is equal to `Sign Out`, then the `metadata.event_type` UDM field is set to `USER_LOGOUT`. Else, if the `AuditOperationType` log field value is equal to `Session Time Out`, then the `metadata.event_type` UDM field is set to `USER_LOGOUT`. Else, if the `AuditOperationType` log field value is equal to `Update`, then the `metadata.event_type` UDM field is set to `USER_RESOURCE_UPDATE_CONTENT`.
	`metadata.product_event_type`	If the `AuditOperationType` log field value is not empty, then if the `AuditOperationType` log field value is equal to `Create`, then the `metadata.product_event_type` UDM field is set to `create`. Else, if the `AuditOperationType` log field value is equal to `Client Session Revoked`, then the `metadata.product_event_type` UDM field is set to `client session revoked`. Else, if the `AuditOperationType` log field value is equal to `Delete`, then the `metadata.product_event_type` UDM field is set to `delete`. Else, if the `AuditOperationType` log field value is equal to `Download`, then the `metadata.product_event_type` UDM field is set to `download`. Else, if the `AuditOperationType` log field value is equal to `Sign In`, then the `metadata.product_event_type` UDM field is set to `user_login`. Else, if the `AuditOperationType` log field value is equal to `Sign In Failure`, then the `metadata.product_event_type` UDM field is set to `user_login_fail`. Else, if the `AuditOperationType` log field value is equal to `Sign Out`, then the `metadata.product_event_type` UDM field is set to `user_logout`. Else, if the `AuditOperationType` log field value is equal to `Session Time Out`, then the `metadata.product_event_type` UDM field is set to `session time out`. Else, if the `AuditOperationType` log field value is equal to `Update`, then the `metadata.product_event_type` UDM field is set to `update`.
	`security_result.action`	If the `AuditOperationType` log field value is not empty, then if the `AuditOperationType` log field value is equal to `Client Session Revoked`, then the `security_result.action` UDM field is set to `BLOCK`. Else, if the `AuditOperationType` log field value is equal to `Sign In`, then the `security_result.action` UDM field is set to `ALLOW`. Else, if the `AuditOperationType` log field value is equal to `Sign In Failure`, then the `security_result.action` UDM field is set to `FAIL`.
`ObjectType`	`target.resource.resource_subtype`
`ObjectID`	`target.resource.product_object_id`
`ObjectName`	`target.resource.name`
`ModifiedTime`	`target.resource.attribute.labels[ModifiedTime]`
`ModifiedBy`	`principal.user.userid`	If the `Audit Operation Type` log field value contain one of the following values, then the `ModifiedBy` log field is mapped to the `principal.user.userid` UDM field. `Create` `Delete` `Update` `Download`
`ModifiedBy`	`target.user.userid`	If the `Audit Operation Type` log field value contain one of the following values, then the `ModifiedBy` log field is mapped to the `target.user.userid` UDM field. `Sign In` `Sign In Failure` `Sign Out` `Client Session Revoked` `Session Time Out`
`User`	`principal.user.email_addresses`	If the `Audit Operation Type` log field value contain one of the following values and the `User` log field value matches the regular expression pattern `(^.@.$)`, then the `User` log field is mapped to the `principal.user.email_addresses` UDM field. `Create` `Delete` `Update` `Download`
`User`	`principal.user.user_display_name`	If the `Audit Operation Type` log field value contain one of the following values and the `User` log field value not matches the regular expression pattern `(^.@.$)`, then the `User` log field is mapped to the `principal.user.user_display_name` UDM field. `Create` `Delete` `Update` `Download`
`User`	`target.user.email_addresses`	If the `Audit Operation Type` log field value contain one of the following values and the `User` log field value matches the regular expression pattern `(^.@.$)`, then the `User` log field is mapped to the `target.user.email_addresses` UDM field. `Sign In` `Sign In Failure` `Sign Out` `Client Session Revoked` `Session Time Out`
`User`	`target.user.user_display_name`	If the `Audit Operation Type` log field value contain one of the following values and the `User` log field value not matches the regular expression pattern `(^.@.$)`, then the `User` log field is mapped to the `target.user.user_display_name` UDM field. `Sign In` `Sign In Failure` `Sign Out` `Client Session Revoked` `Session Time Out`
`AuditOldValue`	`additional.fields[AuditOldValue]`	Iterate through AuditOldValue object: The `AuditOldValue object key` is mapped to the `additional.fields.key` UDM field and `AuditOldValue object value` is mapped to the `additional.fields.value` UDM field.
`AuditNewValue`	`additional.fields[AuditNewValue]`	Iterate through AuditNewValue object: The `AuditNewValue object key` is set to the `additional.fields.key` UDM field and `AuditNewValue object value` is mapped to the `additional.fields.value` UDM field.
`CustomerID`	`metadata.product_deployment_id`
`ClientAuditUpdate`	`additional.fields[ClientAuditUpdate]`

Delta de mapeamento do UDM

A tabela a seguir lista o delta entre o mapeamento antigo da UDM de ZSCALER ZPA AUDIT e o novo mapeamento da UDM de ZSCALER ZPA AUDIT.

UDM Field Mapping Delta

Raw Field	Old UDM Mapping	New UDM Mapping	Logic
`CustomerID`	`target.user.userid`	`metadata.product_deployment_id`
`ModifiedBy`	`principal.user.userid`	`target.user.userid`	If the `Audit Operation Type` log field value contain one of the following values, then the `ModifiedBy` log field is mapped to the `target.user.userid` UDM field. `Sign In` `Sign In Failure` `Sign Out` `Client Session Revoked` `Session Time Out`
`User`	`principal.user.email_addresses`	`target.user.email_addresses`	If the `Audit Operation Type` log field value contain one of the following values and the `User` log field value matches the regular expression pattern `(^.@.$)`, then the `UserID` log field is mapped to the `target.user.email_addresses` UDM field. `Sign In` `Sign In Failure` `Sign Out` `Client Session Revoked` `Session Time Out`
`User`	`principal.user.user_display_name`	`target.user.user_display_name`	If the `Audit Operation Type` log field value contain one of the following values and the `User` log field value not matches the regular expression pattern `(^.@.$)`, then the `UserID` log field is mapped to the `target.user.user_display_name` UDM field. `Sign In` `Sign In Failure` `Sign Out` `Client Session Revoked` `Session Time Out`

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.