Zscaler ZIA

Zscaler ZIA 로그를 Panther Console에 연결하기

개요

Panther는 수집을 지원합니다 Zscaler Internet and SaaS Access (ZIA) 로그를 HTTP Source 또는 AWS S3 Source를 사용하여.

Panther에서 Zscaler ZIA 로그를 온보딩하려면 Zscaler ZIA 구독이 있어야 합니다.

Panther에 Zscaler ZIA 로그를 온보딩하는 방법

Panther에서 Zscaler ZIA 로그를 온보딩하려면 먼저 Panther에서 Zscaler ZIA 소스를 만들고, 그런 다음 Zscaler에서 NSS Cloud Feed를 구성해야 합니다.

하나 이상의 Zscaler ZIA 로그 유형을 Panther에서 온보딩하는 경우:

Zscaler에서는 각 로그 유형마다 다른 NSS Cloud Feed를 만들어야 합니다.
Panther에서는 모든 NSS Cloud Feed에 대해 하나의 Zscaler ZIA 소스를 만들거나, 각 NSS Cloud Feed마다 하나의 Zscaler ZIA 소스를 만들 수 있습니다.

사전 요구 사항

Zscaler Admin Console에 액세스할 권한이 있어야 합니다.

1단계: Panther에서 Zscaler ZIA 소스 설정

Panther Console의 왼쪽 탐색 모음에서 다음을 클릭하세요. 구성 > 로그 소스.
오른쪽 상단에서 새로 만들기.
"Zscaler ZIA"를 검색한 다음 해당 타일을 클릭합니다.
다음에서 전송 메커니즘 드롭다운에서 데이터 전송 이 통합에 사용할 방법을 선택합니다: HTTP 또는 AWS S3 버킷.
- Zscaler를 구성하여 ZIA 로그를 Panther HTTP 엔드포인트로 직접 스트리밍하거나, 또는 귀하의 환경 내 S3 버킷으로 보내고 Panther가 이를 가져오도록 할 수 있습니다.\
다음을 클릭하세요. 설정 시작.
선택한 Data Transport 방법을 구성하기 위한 Panther의 지침을 따르세요:
- HTTP: Panther의 HTTP Source 구성 지침을 따라5단계부터 시작합니다.
  - 설정 중에 구성 페이지에서 다음을 사용해야 합니다. 공유 비밀 인증.
  - 이 소스로 전송된 페이로드는 다음의 적용을 받습니다. 모든 HTTP 소스에 대한 페이로드 요구 사항.
  - HTTP 엔드포인트 생성이 완료될 때까지 다음 단계로 진행하지 마세요.
- S3: 다음을 따르세요 Panther의 S3 Source 구성 지침을.
  - 다음을 따르세요. Panther에서 S3 소스 설정에 대한 지침을1.5단계부터 시작합니다.

2단계(S3 수집에만 해당): S3 버킷 설정

이 Zscaler SaaS Security API and Amazon S3 Deployment Guide에서 다음 Integrating Zscaler Cloud NSS with Amazon S3 지침을 따라 18페이지부터 시작합니다.
- 다음 항목에 도달하면 중지하세요. ZIA Admin Portal에 Cloud NSS Feed 추가 (37페이지), 다음 단계에서 이를 완료하게 됩니다.

3단계: Zscaler admin console에서 Cloud NSS Feed 구성

하나 이상의 Zscaler ZIA 로그 유형을각 로그 유형마다 다른 NSS Cloud Feed를 만들어야 합니다. 각 로그 유형에 대해 이 단계를 반복하세요.

HTTP를 Data Transport로 사용하는 경우:

Zscaler 내 가이드에 따라 Cloud NSS Feed 추가 중 온보딩 중인 로그 유형에 따라 문서를 확인하세요:
- ~에 대해 Zscaler.ZIA.AdminAuditLog, 다음을 따르세요 Admin Audit Logs용 Cloud NSS Feed 추가.
- ~에 대해 Zscaler.ZIA.WebLog, 다음을 따르세요 Web Logs용 Cloud NSS Feed 추가.
- ~에 대해 Zscaler.ZIA.FWLog, 다음을 따르세요 Firewall Logs용 Cloud NSS Feed 추가.
- ~에 대해 Zscaler.ZIA.DNSLog, 다음을 따르세요 DNS Logs용 Cloud NSS Feed 추가.
Cloud NSS Feed를 구성할 때 다음 사항에 유의하세요:
- NSS Type: 다음을 선택합니다 NSS for Web 를 온보딩하려는 경우 Admin Audit 또는 Web 로그 유형 또는 NSS for Firewall 를 온보딩하려는 경우 Firewall 또는 DNS 로그 유형입니다.
- SIEM Rate: 다음으로 두세요 Unlimited.
- SIEM Type: 다음을 선택합니다 기타.
- OAuth 2.0 Authentication: 이 설정은 비활성화해야 합니다.
- Max Batch Size: 그대로 두세요.
- API URL: 다음을 입력합니다. HTTP 소스 URL Panther Console에서 생성한 1단계.
- HTTP Headers: Key 1 필드에 다음을 입력합니다 x-panther-zscaler의 Value 1 필드에 위에서 Databricks에서 생성한 Shared Secret Value 를 Panther에서 생성하거나 입력한 1단계.
- 로그 유형: Panther로 로그를 전송하려는 로그 유형을 선택하고 나머지 필드는 그대로 둡니다.
- Time Zone: GMT를 선택합니다. 왜냐하면 Panther는 UTC 타임스탬프를 예상하기 때문입니다.

Under an "Add Cloud NSS Feed" header are various form fields, including Feed Name, SIEM Type, and HTTP Headers.

지원되는 로그 유형

Zscaler.ZIA.AdminAuditLog

Admin Audit 로그는 로그인, 로그아웃, 리소스 작업(예: 생성 및 업데이트)과 같은 Zscaler admin console의 주요 이벤트를 기록합니다. Admin Audit 로그는 주로 잠재적으로 의심스러운 활동을 조사하거나 오류를 진단하고 문제를 해결하는 데 사용됩니다.

참조:

schema: Zscaler.ZIA.AdminAuditLog
description: Zscaler ZIA Admin Audit Log
referenceURL: https://help.zscaler.com/zia/nss-feed-output-format-admin-audit-logs
fields:
  - name: sourcetype
    required: true
    description: 로그 이벤트를 생성하는 소스 유형.
    type: string
  - 이름: event
    required: true
    description: 감사 로그 이벤트.
    type: object
    fields:
      - name: time
        required: true
        설명: 감사 로그의 타임스탬프.
        type: timestamp
        timeFormats:
          - '%a %b %e %H:%M:%S %Y'
        isEventTime: true
      - name: recordid
        required: true
        description: 로그의 고유 식별자.
        type: string
      - 이름: action
        required: true
        description: 수행된 작업.
        type: string
      - 이름: category
        description: 작업이 수행된 포털 내 위치.
        type: string
      - name: subcategory
        description: 작업이 수행된 포털의 하위 위치.
        type: string
      - name: resource
        description: 하위 범주 내의 특정 위치.
        type: string
      - name: interface
        description: 사용자가 작업을 수행한 수단.
        type: string
      - name: adminid
        description: 작업을 수행한 관리자의 로그인 ID.
        type: string
        indicators:
          - email
          - actor_id
      - name: clientip
        description: 관리자의 소스 IP 주소.
        type: string
        indicators:
          - ip
      - name: result
        description: 작업의 결과.
        type: string
      - name: errorcode
        description: 작업이 실패한 경우의 오류 코드.
        type: string
      - name: auditlogtype
        description: Admin Audit 로그 유형.
        type: string
      - name: preaction
        description: 정책 또는 구성 변경 전의 데이터.
        type: json
      - name: postaction
        description: 정책 또는 구성 변경 후의 데이터.
        type: json

Zscaler.ZIA.WebLog

Web Log는 Zscaler를 통한 사용자 인터넷 활동의 상세 정보를 기록하며, 웹사이트에 대한 허용 및 차단 요청을 포함합니다. URL 범주, 위험 수준, 정책 적용 작업을 추적하므로 브라우징 행동을 모니터링하고, 규정 준수를 시행하며, 잠재적 위협을 탐지하는 데 필수적입니다.

참조:

Web 로그 형식

schema: Zscaler.ZIA.WebLog
description: Zscaler ZIA Web Log
referenceURL: https://help.zscaler.com/zia/nss-feed-output-format-web-logs
fields:
  - name: sourcetype
    required: true
    description: 로그 이벤트를 생성하는 소스 유형.
    type: string
  - 이름: event
    required: true
    description: 웹 로그 이벤트.
    type: object
    fields:
      - name: datetime
        required: true
        type: timestamp
        description: 트랜잭션의 시간과 날짜
        timeFormats:
          - '%Y-%m-%d %H:%M:%S'
        isEventTime: true
      - name: reason
        type: string
        description: 서비스가 수행한 작업과, 트랜잭션이 차단된 경우 적용된 정책
      - name: event_id
        description: 각 로그의 고유 레코드 식별자
        type: string
      - 이름: protocol
        description: 트랜잭션의 프로토콜 유형
        type: string
      - 이름: action
        description: 서비스가 트랜잭션에 대해 수행한 작업
        type: string
      - name: transactionsize
        description: HTTP 트랜잭션의 총 크기(바이트)
        유형: bigint
      - name: responsesize
        description: 헤더와 페이로드를 포함한 HTTP 응답의 총 크기(바이트)
        유형: bigint
      - name: requestsize
        description: 요청 크기(바이트)
        유형: bigint
      - name: ClientIP
        description: 사용자의 IP 주소
        type: string
        indicators:
          - ip
      - name: appclass
        description: 액세스된 애플리케이션의 웹 애플리케이션 클래스.
        type: string
      - name: appname
        description: 클라우드 애플리케이션의 이름
        type: string
      - name: bwthrottle
        description: 구성된 대역폭 정책으로 인해 트랜잭션이 제한되었는지 여부를 나타냄
        type: string
      - name: clientpublicIP
        description: 클라이언트 공용 IP 주소
        type: string
        indicators:
          - ip
      - name: contenttype
        description: 콘텐츠 유형의 이름
        type: string
      - 이름: department
        description: 사용자의 부서
        type: string
      - name: devicehostname
        description: 장치의 호스트 이름
        type: string
      - name: deviceowner
        description: 장치의 소유자
        type: string
      - name: dlpdictionaries
        description: 일치한 DLP 사전(있는 경우)
        type: string
      - name: dlpengine
        description: 일치한 DLP 엔진(있는 경우)
        type: string
      - name: fileclass
        description: 트랜잭션 중 다운로드된 파일의 클래스
        type: string
      - name: filetype
        description: 트랜잭션에 관련된 파일 유형.
        type: string
      - 이름: hostname
        description: 액세스 중인 URL의 호스트 이름.
        indicators:
          - hostname
        type: string
      - name: keyprotectiontype
        description: HSM Protection 또는 Software Protection 중간 CA 인증서가 사용되는지 여부를 나타냄
        type: string
      - 이름: location
        description: 소스의 게이트웨이 위치 또는 하위 위치.
        type: string
      - name: pagerisk
        description: 대상 URL의 Page Risk Index 점수.
        type: string
      - name: product
        description: 제품 이름
        type: string
      - name: refererURL
        description: referer URL
        type: string
      - name: requestmethod
        description: 요청 메서드
        type: string
      - name: serverip
        description: 대상 서버 IP 주소. 요청이 차단된 경우 0.0.0.0이 표시됩니다.
        type: string
        indicators:
          - ip
      - name: status
        description: 응답 코드
        type: string
      - name: threatcategory
        description: 트랜잭션에서 탐지된 멀웨어의 범주(있는 경우)
        type: string
      - name: threatclass
        description: 트랜잭션에서 탐지된 멀웨어의 클래스(있는 경우)
        type: string
      - name: threatname
        description: 트랜잭션에서 탐지된 위협의 이름(있는 경우)
        type: string
      - name: unscannabletype
        description: 스캔할 수 없는 파일 형식
        type: string
      - 이름: url
        required: true
        description: 대상 URL
        type: string
        indicators:
          - url
      - name: urlcategory
        description: 대상 URL의 범주
        type: string
      - name: urlclass
        description: 대상 URL의 클래스
        type: string
      - name: urlsupercategory
        description: 대상 URL의 상위 범주
        type: string
      - name: user
        required: true
        description: 이메일 주소 형식의 사용자의 로그인 이름
        type: string
        indicators:
          - email
          - actor_id
          - username
      - 이름: useragent
        description: 사용자 에이전트
        type: string
      - name: vendor
        description: 공급업체 이름
        type: string

Zscaler.ZIA.FWLog

방화벽 로그는 소스 및 대상 IP, 프로토콜, 포트, 세션 작업에 대한 세부 정보를 포함하여 Zscaler ZIA 방화벽이 관리하는 비웹 트래픽 이벤트를 기록합니다. 이는 애플리케이션 사용을 모니터링하고, 네트워크 정책을 시행하며, 의심스럽거나 승인되지 않은 트래픽 패턴을 식별하는 데 사용됩니다.

참조:

방화벽 로그 형식

schema: Zscaler.ZIA.FWLog
description: Zscaler ZIA Firewall Log
referenceURL: https://help.zscaler.com/zia/nss-feed-output-format-firewall-logs
fields:
  - name: sourcetype
    required: true
    description: 로그 이벤트를 생성하는 소스 유형.
    type: string
  - 이름: event
    required: true
    description: 방화벽 로그 이벤트.
    type: object
    fields:
      - name: datetime
        required: true
        type: timestamp
        description: 트랜잭션의 시간과 날짜
        timeFormats:
          - '%a %b %e %H:%M:%S %Y'
        isEventTime: true
      - 이름: action
        description: 서비스가 트랜잭션에 대해 수행한 작업, Allowed 또는 Blocked
        type: string
      - name: aggregate
        description: 방화벽 세션이 집계되었는지 여부를 나타냄
        type: string
      - name: avgduration
        description: 세션이 집계된 경우 평균 세션 지속 시간(밀리초)
        유형: bigint
      - name: cdip
        description: 클라이언트 대상 IP 주소
        type: string
        indicators:
          - ip
      - name: cdport
        description: 클라이언트 소스 포트
        유형: bigint
      - name: csip
        required: true
        description: 클라이언트 소스 IP 주소
        type: string
        indicators:
          - ip
      - name: csport
        description: 클라이언트 소스 포트
        유형: bigint
      - 이름: department
        description: 사용자의 부서
        type: string
      - name: destcountry
        description: 대상 IP 주소의 국가 약어 코드
        type: string
      - name: devicehostname
        description: 장치의 호스트 이름
        type: string
      - name: deviceowner
        description: 장치의 소유자
        type: string
      - name: dnat
        description: 대상 NAT 정책이 적용되었는지 여부를 나타냄
        type: string
      - name: duration
        description: 세션 또는 요청 지속 시간(초)
        유형: bigint
      - name: durationms
        description: 세션 또는 요청 지속 시간(밀리초)
        유형: bigint
      - name: inbytes
        description: 서버에서 클라이언트로 전송된 바이트 수
        유형: bigint
      - name: ipcat
        description: 서버 IP 주소에 해당하는 URL 범주
        type: string
      - name: ipsrulelabel
        description: 방화벽 세션에 적용된 IPS 정책의 이름
        type: string
      - name: locationname
        description: 세션이 시작된 위치의 이름
        type: string
      - name: numsessions
        description: 집계된 세션 수
        유형: bigint
      - name: nwapp
        description: 액세스된 네트워크 애플리케이션
        type: string
      - name: nwsvc
        description: 사용된 네트워크 서비스
        type: string
      - name: outbytes
        description: 클라이언트에서 서버로 전송된 바이트 수
        유형: bigint
      - name: proto
        description: IP 프로토콜 유형
        type: string
      - name: rulelabel
        description: 트랜잭션에 적용된 룰의 이름
        type: string
      - name: sdip
        description: 서버 대상 IP 주소
        type: string
        indicators:
          - ip
      - name: sdport
        description: 서버 대상 포트
        유형: bigint
      - name: ssip
        description: 서버 소스 IP 주소
        type: string
        indicators:
          - ip
      - name: ssport
        description: 서버 소스 포트
        유형: bigint
      - name: stateful
        description: 방화벽 세션이 상태 저장형인지 여부를 나타냄
        type: string
      - name: threatcat
        description: IPS 엔진이 방화벽 세션에서 식별한 위협의 범주
        type: string
      - name: threatname
        description: IPS 엔진이 방화벽 세션에서 탐지한 위협의 이름
        type: string
      - name: tsip
        description: 클라이언트(소스)의 터널 IP 주소
        type: string
        indicators:
          - ip
      - name: tunsport
        description: 터널 포트
        유형: bigint
      - name: tuntype
        description: 트래픽을 방화벽으로 보내는 데 사용된 트래픽 전달 방법
        type: string
      - name: user
        required: true
        description: 이메일 주소 형식의 사용자의 로그인 이름
        type: string
        indicators:
          - email
          - username
          - actor_id

Zscaler.ZIA.DNSLog

DNS 로그는 허용, 차단 또는 확인되지 않은 도메인을 포함하여 Zscaler ZIA가 처리한 모든 DNS 쿼리와 응답을 캡처합니다. 이는 도메인 사용에 대한 가시성을 제공하고, 악성 또는 의심스러운 활동(예: DNS 터널링)을 탐지하는 데 도움을 주며, 보안 DNS 필터링을 위한 정책 시행을 지원합니다.

참조:

DNS 로그 형식

schema: Zscaler.ZIA.DNSLog
description: Zscaler ZIA DNS Log
referenceURL: https://help.zscaler.com/zia/nss-feed-output-format-dns-logs
fields:
  - name: sourcetype
    required: true
    description: 로그 이벤트를 생성하는 소스 유형.
    type: string
  - 이름: event
    required: true
    description: dns 로그 이벤트.
    type: object
    fields:
      - name: datetime
        required: true
        type: timestamp
        description: 트랜잭션의 시간과 날짜
        timeFormats:
          - '%a %b %e %H:%M:%S %Y'
        isEventTime: true
      - 이름: category
        type: string
        description: 이벤트 범주
      - name: clt_sip
        description: 사용자의 IP 주소
        type: string
        indicators:
          - ip
      - 이름: department
        description: 사용자의 부서
        type: string
      - name: devicehostname
        description: 장치의 호스트 이름
        type: string
      - name: deviceowner
        description: 장치의 소유자
        type: string
      - name: dns_req
        description: DNS 요청
        type: string
        indicators:
          - domain
      - name: dns_reqtype
        required: true
        description: DNS 요청 유형
        type: string
      - name: dns_resp
        description: DNS 응답
        type: string
      - name: durationms
        description: DNS 요청의 지속 시간(밀리초)
        유형: bigint
      - 이름: location
        description: 이벤트 위치
        type: string
      - name: reqaction
        description: DNS 요청에 적용된 작업의 이름
        type: string
      - name: reqrulelabel
        description: DNS 요청에 적용된 룰의 이름
        type: string
      - name: resaction
        description: DNS 응답에 적용된 작업의 이름
        type: string
      - name: respipcategory
        description: 응답 IP 범주
        type: string
      - name: resrulelabel
        description: DNS 응답에 적용된 룰의 이름
        type: string
      - name: srv_dip
        description: 서버 IP
        type: string
        indicators:
          - ip
      - name: srv_dport
        description: 서버 포트
        유형: bigint
      - name: user
        required: true
        description: 이메일 주소 형식의 로그인 이름
        type: string
        indicators:
          - email
          - username
          - actor_id

이전Zscaler 로그 다음Zscaler ZPA

마지막 업데이트 8개월 전

도움이 되었나요?