Zscaler ZIA
Zscaler ZIA 로그를 Panther 콘솔에 연결하기
개요
Panther는 다음을 수집하는 것을 지원합니다 Zscaler HTTP 소스 또는 AWS S3 소스 중 하나를 사용하여 인터넷 및 SaaS 액세스(ZIA) 로그입니다.
Panther에 Zscaler ZIA 로그를 온보딩하려면 Zscaler ZIA 구독이 있어야 합니다.
Zscaler ZIA 로그를 Panther에 온보딩하는 방법
Panther에 Zscaler ZIA 로그를 온보딩하려면 먼저 Panther에서 Zscaler ZIA 소스를 생성한 다음 Zscaler에서 NSS Cloud Feed를 구성합니다.
다음을 온보딩하는 경우 Zscaler ZIA 로그 유형 Panther에서:
Zscaler에서는 각 로그 유형마다 서로 다른 NSS Cloud Feed를 생성해야 합니다.
Panther에서는 모든 NSS Cloud Feed에 대해 하나의 Zscaler ZIA 소스를 생성하거나 각 NSS Cloud Feed마다 하나의 Zscaler ZIA 소스를 생성할 수 있습니다.
사전 요구 사항
Zscaler 관리자 콘솔에 액세스할 수 있는 권한이 있어야 합니다.
1단계: Panther에서 Zscaler ZIA 소스 설정
Panther 콘솔의 왼쪽 탐색 창에서 구성 > 로그 소스.
우측 상단에서 클릭 새로 만들기.
"Zscaler ZIA"를 검색한 다음 해당 타일을 클릭합니다.
일반 구성 전송 메커니즘 드롭다운에서 통합에 사용하려는 데이터 전송 방법을 선택합니다: HTTP 이전에 생성한 Snowflake 사용자 이름, 예를 들면 AWS S3 버킷.
Zscaler를 구성하여 ZIA 로그를 Panther HTTP 엔드포인트로 직접 스트리밍하거나 귀하의 환경에 있는 S3 버킷으로 스트리밍하도록 할 수 있으며, Panther는 이후 해당 버킷에서 가져옵니다.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정 시작.
선택한 데이터 전송 방법을 구성하기 위한 Panther의 지침을 따르십시오:
HTTP: Panther의 지침을 따르십시오 HTTP 소스 구성에 대한 지침을 따르세요5단계부터 시작하여.
설정 중에, 구성 페이지에서 다음을 사용해야 합니다 공유 비밀 인증.
이 소스로 전송된 페이로드는 다음의 적용을 받습니다 모든 HTTP 소스에 대한 페이로드 요구사항.
HTTP 엔드포인트 생성이 완료될 때까지 다음 단계로 진행하지 마세요.
S3: 다음을 따르세요 Panther의 S3 소스 구성 지침.
다음을 따르세요 Panther에서 S3 소스 설정에 관한 지침에서 1.5단계부터 시작합니다.
2단계(단, S3 수집의 경우에만): S3 버킷 설정
이 Zscaler SaaS 보안 API 및 Amazon S3 배포 가이드에서 다음을 따르십시오 Zscaler Cloud NSS를 Amazon S3와 통합 지침은 18페이지부터 시작합니다.
다음 지점에 도달하면 중단하십시오 ZIA 관리자 포털에 클라우드 NSS 피드 추가 (37페이지)에 있는 항목은 다음 단계에서 완료할 것이므로 중단합니다.
3단계: Zscaler 관리자 콘솔에서 Cloud NSS Feed 구성
다음을 온보딩하는 경우 Zscaler ZIA 로그 유형에서, 각 로그 유형마다 서로 다른 NSS Cloud Feed를 생성해야 합니다. 이 단계를 각 로그 유형마다 반복하십시오.
데이터 전송으로 HTTP를 사용하는 경우:
Zscaler 내 가이드의 다음을 따르십시오 Cloud NSS 피드 추가 온보딩하는 로그 유형에 따라 문서를 참조하십시오:
다음을 위해 Zscaler.ZIA.AdminAuditLog다음을 따르십시오 관리자 감사 로그용 Cloud NSS 피드 추가.
다음을 위해 Zscaler.ZIA.WebLog다음을 따르십시오 웹 로그용 Cloud NSS 피드 추가.
다음을 위해 Zscaler.ZIA.FWLog다음을 따르십시오 방화벽 로그용 Cloud NSS 피드 추가.
다음을 위해 Zscaler.ZIA.DNSLog다음을 따르십시오 DNS 로그용 Cloud NSS 피드 추가.
Cloud NSS Feed를 구성할 때 다음 사항을 유의하십시오:
NSS 유형: 선택하세요 웹용 NSS 온보딩하려는 경우
관리자 감사이전에 생성한 Snowflake 사용자 이름, 예를 들면웹로그 유형, 또는 방화벽용 NSS 온보딩하려면Firewall이전에 생성한 Snowflake 사용자 이름, 예를 들면DNS로그 유형입니다.SIEM 비율: 다음으로 두십시오 무제한.
SIEM 유형: 선택하세요 기타.
OAuth 2.0 인증: 이 설정은 비활성화되어야 합니다.
최대 배치 크기: 기본값으로 두십시오.
API URL: Panther에서 이전 단계에서 생성한 HTTP 소스 URL Panther 콘솔에서 생성한 1단계.
HTTP 헤더: 키 1 필드에
x-panther-zscaler. 에서 값 1 필드에 위에서 Databricks에서 생성한 공유 비밀 값 Panther에서 생성하거나 입력한 1단계.로그 유형: 로그를 Panther로 전송하려는 로그 유형을 선택하고 나머지 필드는 그대로 두십시오.
시간대: GMT, 다음과 같이 Panther는 UTC 타임스탬프를 기대합니다.
데이터 전송으로 S3를 사용하는 경우:
이 Zscaler SaaS 보안 API 및 Amazon S3 배포 가이드에서 다음을 따르십시오 ZIA 관리자 포털에 클라우드 NSS 피드 추가 지침은 37페이지부터 시작합니다.
지원되는 로그 유형
Zscaler.ZIA.AdminAuditLog
관리자 감사 로그는 로그인, 로그아웃 및 리소스 작업(예: 생성 및 업데이트)과 같은 Zscaler 관리자 콘솔의 주요 이벤트를 기록합니다. 관리자 감사 로그는 주로 의심스러운 활동을 조사하거나 오류를 진단하고 문제를 해결하는 데 사용됩니다.
참조:
Zscaler.ZIA.WebLog
웹 로그는 허용 및 차단된 웹 사이트 요청을 포함하여 Zscaler를 통한 사용자 인터넷 활동에 대한 자세한 정보를 기록합니다. URL 카테고리, 위험 수준 및 정책 시행 조치를 추적하여 브라우징 행동 모니터링, 규정 준수 시행 및 잠재적 위협 탐지에 필수적입니다.
참조:
Zscaler.ZIA.FWLog
방화벽 로그는 소스 및 대상 IP, 프로토콜, 포트 및 세션 작업에 대한 세부 정보를 포함하여 Zscaler ZIA 방화벽이 관리하는 웹이 아닌 트래픽 이벤트를 기록합니다. 애플리케이션 사용 모니터링, 네트워크 정책 시행 및 의심스럽거나 무단 트래픽 패턴 식별에 사용됩니다.
참조:
Zscaler.ZIA.DNSLog
DNS 로그는 허용되었거나 차단되었거나 확인되지 않은 도메인을 포함하여 Zscaler ZIA가 처리한 모든 DNS 쿼리 및 응답을 캡처합니다. 도메인 사용에 대한 가시성을 제공하고 DNS 터널링과 같은 악의적 또는 의심스러운 활동을 탐지하는 데 도움을 주며 안전한 DNS 필터링을 위한 정책 시행을 지원합니다.
참조:
마지막 업데이트
도움이 되었나요?