Zscaler ZIA
Zscaler ZIA 로그를 Panther 콘솔에 연결하기
개요
Panther는 수집을 지원합니다 Zscaler HTTP 소스 또는 AWS S3 소스 중 하나를 사용하여 인터넷 및 SaaS 액세스(ZIA) 로그입니다.
Panther에 Zscaler ZIA 로그를 온보딩하려면 Zscaler ZIA 구독이 있어야 합니다.
Zscaler ZIA 로그를 Panther에 온보딩하는 방법
Panther에 Zscaler ZIA 로그를 온보딩하려면 먼저 Panther에서 Zscaler ZIA 소스를 생성한 다음 Zscaler에서 NSS Cloud Feed를 구성해야 합니다.
하나 이상의 Zscaler ZIA 로그 유형 을(를) Panther에 온보딩하는 경우:
Zscaler에서는 각 로그 유형마다 다른 NSS Cloud Feed를 생성해야 합니다.
Panther에서는 모든 NSS Cloud Feed에 대해 하나의 Zscaler ZIA 소스를 생성하거나 각 NSS Cloud Feed마다 하나의 Zscaler ZIA 소스를 생성할 수 있습니다.
전제 조건
Zscaler 관리 콘솔에 접근할 수 있는 권한이 있어야 합니다.
1단계: Panther에서 Zscaler ZIA 소스 설정
Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 구성 > 로그 소스.
오른쪽 상단에서 클릭 새로 만들기.
"Zscaler ZIA"를 검색한 다음 해당 타일을 클릭합니다.
다음 전송 메커니즘 드롭다운에서 이 통합에 사용하려는 데이터 전송 방법을 선택합니다: HTTP 또는 AWS S3 버킷.
Zscaler를 구성하여 ZIA 로그를 Panther HTTP 엔드포인트로 직접 스트리밍하거나, Panther가 가져올 귀하의 환경 내 S3 버킷으로 스트리밍하도록 설정할 수 있습니다.
클릭 설정 시작.
선택한 데이터 전송 방법을 구성하기 위한 Panther의 지침을 따르십시오:
HTTP: Panther의 지침을 따르십시오 HTTP 소스 구성에 대한 지침을(를) 따르십시오. 5단계에서 시작합니다.
설정 중에, 구성 페이지에서 다음을 사용해야 합니다 공유 비밀 인증.
이 소스로 전송되는 페이로드는 모든 HTTP 소스에 대한 페이로드 요구사항.
HTTP 엔드포인트 생성이 완료될 때까지 다음 단계로 진행하지 마세요.
S3: 다음을 따르세요 S3 소스를 구성하기 위한 Panther의 지침.
다음을 따르세요 Panther에서 S3 소스를 설정하는 방법에 대한 지침, 1.5단계부터 시작합니다.
2단계( S3 수집 전용 ): S3 버킷 설정
이 Zscaler SaaS Security API 및 Amazon S3 배포 가이드에서 다음을 따르십시오 Amazon S3와 Zscaler Cloud NSS 통합 지침은 18페이지부터 시작합니다.
다음 항목에 도달하면 중지하십시오 ZIA 관리 포털에서 Cloud NSS Feed 추가 (37페이지에 있음), 다음 단계에서 이를 완료할 것이므로 여기서 중지합니다.
3단계: Zscaler 관리 콘솔에서 Cloud NSS Feed 구성
하나 이상의 Zscaler ZIA 로그 유형각 로그 유형마다 다른 NSS Cloud Feed를 생성해야 합니다. 이 단계를 각 로그 유형에 대해 반복하십시오.
데이터 전송으로 HTTP를 사용하는 경우:
Zscaler 내 안내서를 따르십시오 Cloud NSS Feed 추가 온보딩하는 로그 유형에 따라 문서를 참조하십시오:
다음을 위해 Zscaler.ZIA.AdminAuditLog, 다음을 따르십시오 관리자 감사 로그용 Cloud NSS Feed 추가.
다음을 위해 Zscaler.ZIA.WebLog, 다음을 따르십시오 웹 로그용 Cloud NSS Feed 추가.
다음을 위해 Zscaler.ZIA.FWLog, 다음을 따르십시오 방화벽 로그용 Cloud NSS Feed 추가.
다음을 위해 Zscaler.ZIA.DNSLog, 다음을 따르십시오 DNS 로그용 Cloud NSS Feed 추가.
Cloud NSS Feed를 구성할 때 다음 사항을 기록해 두십시오:
NSS 유형: 선택하세요 웹용 NSS 온보딩하려는 경우
관리자 감사또는웹로그 유형, 또는 방화벽용 NSS 온보딩하려면Firewall또는DNS로그 유형.SIEM 비율: 다음으로 둡니다 무제한.
SIEM 유형: 선택하세요 기타.
OAuth 2.0 인증: 이 설정은 비활성화되어야 합니다.
최대 배치 크기: 그대로 두십시오.
API URL: Panther에서 이전 단계에서 생성한 호스트 Panther 콘솔에서 생성한 1단계.
HTTP 헤더: 에서 키 1 필드에
x-panther-zscaler. 에서 값 1 화면이 표시됩니다. 공유 비밀 값 Panther에서 생성하거나 입력한 1단계.로그 유형: Panther로 로그를 보내려는 로그 유형을 선택하고 나머지 필드는 그대로 두십시오.
시간대: 선택 GMT, 다음과 같이 Panther는 UTC 타임스탬프를 예상합니다.
데이터 전송으로 S3를 사용하는 경우:
이 Zscaler SaaS Security API 및 Amazon S3 배포 가이드에서 다음을 따르십시오 ZIA 관리 포털에서 Cloud NSS Feed 추가 지침은 37페이지부터 시작합니다.
지원되는 로그 유형
Zscaler.ZIA.AdminAuditLog
관리자 감사 로그는 로그인, 로그아웃, 리소스 작업(생성 및 업데이트와 같은)과 같은 Zscaler 관리 콘솔의 주요 이벤트를 기록합니다. 관리자 감사 로그는 주로 잠재적으로 의심스러운 활동을 조사하거나 오류를 진단하고 문제를 해결하는 데 사용됩니다.
참조:
Zscaler.ZIA.WebLog
웹 로그는 허용된 요청 및 차단된 웹사이트 요청을 포함하여 Zscaler를 통한 사용자 인터넷 활동에 대한 자세한 정보를 기록합니다. URL 카테고리, 위험 수준 및 정책 적용 조치를 추적하여 브라우징 행동 모니터링, 규정 준수 시행 및 잠재적 위협 탐지에 필수적입니다.
참조:
Zscaler.ZIA.FWLog
방화벽 로그는 소스 및 대상 IP, 프로토콜, 포트 및 세션 동작에 대한 세부 정보를 포함하여 Zscaler ZIA 방화벽이 관리하는 비웹 트래픽 이벤트를 기록합니다. 애플리케이션 사용 모니터링, 네트워크 정책 시행 및 의심스러운 또는 무단 트래픽 패턴 식별에 사용됩니다.
참조:
Zscaler.ZIA.DNSLog
DNS 로그는 허용, 차단 또는 해결되지 않은 도메인을 포함하여 Zscaler ZIA가 처리한 모든 DNS 쿼리 및 응답을 캡처합니다. 도메인 사용에 대한 가시성을 제공하고 DNS 터널링과 같은 악의적이거나 의심스러운 활동을 탐지하며 안전한 DNS 필터링을 위한 정책 시행을 지원합니다.
참조:
Last updated
Was this helpful?