# Zscaler ZIA
## 개요
Panther는 수집을 지원합니다 [Zscaler](https://www.zscaler.com/) Internet and SaaS Access (ZIA) 로그를 HTTP Source 또는 AWS S3 Source를 사용하여.
{% hint style="warning" %}
Panther에서 Zscaler ZIA 로그를 온보딩하려면 Zscaler ZIA 구독이 있어야 합니다.
{% endhint %}
## Panther에 Zscaler ZIA 로그를 온보딩하는 방법
Panther에서 Zscaler ZIA 로그를 온보딩하려면 먼저 Panther에서 Zscaler ZIA 소스를 만들고, 그런 다음 Zscaler에서 NSS Cloud Feed를 구성해야 합니다.
하나 이상의 [Zscaler ZIA 로그 유형을](#supported-log-types) Panther에서 온보딩하는 경우:
* Zscaler에서는 각 로그 유형마다 다른 NSS Cloud Feed를 만들어야 합니다.
* Panther에서는 모든 NSS Cloud Feed에 대해 하나의 Zscaler ZIA 소스를 만들거나, 각 NSS Cloud Feed마다 하나의 Zscaler ZIA 소스를 만들 수 있습니다.
### 사전 요구 사항
* Zscaler Admin Console에 액세스할 권한이 있어야 합니다.
### 1단계: Panther에서 Zscaler ZIA 소스 설정
1. Panther Console의 왼쪽 탐색 모음에서 다음을 클릭하세요. **구성** > **로그 소스**.
2. 오른쪽 상단에서 **새로 만들기.**
3. "Zscaler ZIA"를 검색한 다음 해당 타일을 클릭합니다.
4. 다음에서 **전송 메커니즘** 드롭다운에서 [데이터 전송](/ko/data-onboarding/data-transports.md) 이 통합에 사용할 방법을 선택합니다: **HTTP** 또는 **AWS S3 버킷**.
* Zscaler를 구성하여 ZIA 로그를 Panther HTTP 엔드포인트로 직접 스트리밍하거나, 또는 귀하의 환경 내 S3 버킷으로 보내고 Panther가 이를 가져오도록 할 수 있습니다.\\
5. 다음을 클릭하세요. **설정 시작**.
6. 선택한 Data Transport 방법을 구성하기 위한 Panther의 지침을 따르세요:
* **HTTP**: Panther의 [HTTP Source 구성 지침을 따라](https://docs.panther.com/data-onboarding/data-transports/http#how-to-set-up-an-http-log-source-in-panther)5단계부터 시작합니다.
* 설정 중에 **구성** 페이지에서 다음을 사용해야 합니다. [공유 비밀 인증](/ko/data-onboarding/data-transports/http.md#shared-secret).
* 이 소스로 전송된 페이로드는 다음의 적용을 받습니다. [모든 HTTP 소스에 대한 페이로드 요구 사항](https://docs.panther.com/data-onboarding/data-transports/http#payload-requirements).
* HTTP 엔드포인트 생성이 완료될 때까지 다음 단계로 진행하지 마세요.
* **S3**: 다음을 따르세요 [Panther의 S3 Source 구성 지침을](/ko/data-onboarding/data-transports/aws/s3.md).
* 다음을 따르세요. [Panther에서 S3 소스 설정에 대한 지침을](https://docs.panther.com/data-onboarding/data-transports/aws/s3#how-set-up-an-aws-s3-bucket-log-source-in-panther)1.5단계부터 시작합니다.
### 2단계(S3 수집에만 해당): S3 버킷 설정
* 이 [Zscaler SaaS Security API and Amazon S3 Deployment Guide](https://help.zscaler.com/downloads/zscaler-technology-partners/cloud/zscaler-saas-security-api-and-amazon-s3-deployment-guide/Zscaler-S3-Deployment-Guide-FINAL.pdf)에서 다음 **Integrating Zscaler Cloud NSS with Amazon S3** 지침을 따라 18페이지부터 시작합니다.
* 다음 항목에 도달하면 중지하세요. **ZIA Admin Portal에 Cloud NSS Feed 추가** (37페이지), 다음 단계에서 이를 완료하게 됩니다.
### 3단계: Zscaler admin console에서 Cloud NSS Feed 구성
하나 이상의 [Zscaler ZIA 로그 유형을](#supported-log-types)각 로그 유형마다 다른 NSS Cloud Feed를 만들어야 합니다. 각 로그 유형에 대해 이 단계를 반복하세요.
{% tabs %}
{% tab title="HTTP 소스" %}
HTTP를 Data Transport로 사용하는 경우:
* Zscaler 내 가이드에 따라 [Cloud NSS Feed 추가](https://help.zscaler.com/zia/documentation-knowledgebase/analytics/nss/nss-feeds/adding-cloud-nss-feeds) 중 온보딩 중인 로그 유형에 따라 문서를 확인하세요:
* \~에 대해 [Zscaler.ZIA.AdminAuditLog](#zscaler.zia.adminauditlog), 다음을 따르세요 [Admin Audit Logs용 Cloud NSS Feed 추가](https://help.zscaler.com/zia/adding-cloud-nss-feeds-admin-audit-logs).
* \~에 대해 [Zscaler.ZIA.WebLog](#zscaler.zia.weblog), 다음을 따르세요 [Web Logs용 Cloud NSS Feed 추가](https://help.zscaler.com/zia/adding-cloud-nss-feeds-web-logs).
* \~에 대해 [Zscaler.ZIA.FWLog](#zscaler.zia.fwlog), 다음을 따르세요 [Firewall Logs용 Cloud NSS Feed 추가](https://help.zscaler.com/zia/adding-cloud-nss-feeds-for-firewall-logs).
* \~에 대해 [Zscaler.ZIA.DNSLog](#zscaler.zia.dnslog), 다음을 따르세요 [DNS Logs용 Cloud NSS Feed 추가](https://help.zscaler.com/zia/adding-cloud-nss-feeds-dns-logs).
* Cloud NSS Feed를 구성할 때 다음 사항에 유의하세요:
* **NSS Type:** 다음을 선택합니다 **NSS for Web** 를 온보딩하려는 경우 `Admin Audit` 또는 `Web` 로그 유형 또는 **NSS for Firewall** 를 온보딩하려는 경우 `Firewall` 또는 `DNS` 로그 유형입니다.
* **SIEM Rate**: 다음으로 두세요 **Unlimited**.
* **SIEM Type:** 다음을 선택합니다 **기타**.
* **OAuth 2.0 Authentication**: 이 설정은 비활성화해야 합니다.
* **Max Batch Size**: 그대로 두세요.
* **API URL**: 다음을 입력합니다. **HTTP 소스 URL** Panther Console에서 생성한 [1단계](#step-1-set-up-the-zscaler-zia-source-in-panther).
* **HTTP Headers**: **Key 1** 필드에 다음을 입력합니다 `x-panther-zscaler`의 **Value 1** 필드에 위에서 Databricks에서 생성한 **Shared Secret Value** 를 Panther에서 생성하거나 입력한 [1단계](#step-1-set-up-the-zscaler-zia-source-in-panther).
* **로그 유형**: Panther로 로그를 전송하려는 로그 유형을 선택하고 나머지 필드는 그대로 둡니다.
* **Time Zone**: **GMT**를 선택합니다. 왜냐하면 [Panther는 UTC 타임스탬프를 예상하기 때문입니다](/ko/data-onboarding/custom-log-types/reference.md#timestamps).
{% endtab %}
{% tab title="S3 Source" %}
S3를 Data Transport로 사용하는 경우:
* 이 [Zscaler SaaS Security API and Amazon S3 Deployment Guide](https://help.zscaler.com/downloads/zscaler-technology-partners/cloud/zscaler-saas-security-api-and-amazon-s3-deployment-guide/Zscaler-S3-Deployment-Guide-FINAL.pdf)에서 다음 **ZIA Admin Portal에 Cloud NSS Feed 추가** 지침을 따라 37페이지부터 시작합니다.
{% endtab %}
{% endtabs %}
## 지원되는 로그 유형
### Zscaler.ZIA.AdminAuditLog
Admin Audit 로그는 로그인, 로그아웃, 리소스 작업(예: 생성 및 업데이트)과 같은 Zscaler admin console의 주요 이벤트를 기록합니다. Admin Audit 로그는 주로 잠재적으로 의심스러운 활동을 조사하거나 오류를 진단하고 문제를 해결하는 데 사용됩니다.
참조:
* [감사 로그에 대한 일반 정보](https://help.zscaler.com/zia/about-audit-logs)
* [Admin Audit 로그 형식](https://help.zscaler.com/zia/nss-feed-output-format-admin-audit-logs)
```yaml
schema: Zscaler.ZIA.AdminAuditLog
description: Zscaler ZIA Admin Audit Log
referenceURL: https://help.zscaler.com/zia/nss-feed-output-format-admin-audit-logs
fields:
- name: sourcetype
required: true
description: 로그 이벤트를 생성하는 소스 유형.
type: string
- 이름: event
required: true
description: 감사 로그 이벤트.
type: object
fields:
- name: time
required: true
설명: 감사 로그의 타임스탬프.
type: timestamp
timeFormats:
- '%a %b %e %H:%M:%S %Y'
isEventTime: true
- name: recordid
required: true
description: 로그의 고유 식별자.
type: string
- 이름: action
required: true
description: 수행된 작업.
type: string
- 이름: category
description: 작업이 수행된 포털 내 위치.
type: string
- name: subcategory
description: 작업이 수행된 포털의 하위 위치.
type: string
- name: resource
description: 하위 범주 내의 특정 위치.
type: string
- name: interface
description: 사용자가 작업을 수행한 수단.
type: string
- name: adminid
description: 작업을 수행한 관리자의 로그인 ID.
type: string
indicators:
- email
- actor_id
- name: clientip
description: 관리자의 소스 IP 주소.
type: string
indicators:
- ip
- name: result
description: 작업의 결과.
type: string
- name: errorcode
description: 작업이 실패한 경우의 오류 코드.
type: string
- name: auditlogtype
description: Admin Audit 로그 유형.
type: string
- name: preaction
description: 정책 또는 구성 변경 전의 데이터.
type: json
- name: postaction
description: 정책 또는 구성 변경 후의 데이터.
type: json
```
### Zscaler.ZIA.WebLog
Web Log는 Zscaler를 통한 사용자 인터넷 활동의 상세 정보를 기록하며, 웹사이트에 대한 허용 및 차단 요청을 포함합니다. URL 범주, 위험 수준, 정책 적용 작업을 추적하므로 브라우징 행동을 모니터링하고, 규정 준수를 시행하며, 잠재적 위협을 탐지하는 데 필수적입니다.
참조:
* [Web 로그 형식](https://help.zscaler.com/zia/nss-feed-output-format-web-logs)
```yaml
schema: Zscaler.ZIA.WebLog
description: Zscaler ZIA Web Log
referenceURL: https://help.zscaler.com/zia/nss-feed-output-format-web-logs
fields:
- name: sourcetype
required: true
description: 로그 이벤트를 생성하는 소스 유형.
type: string
- 이름: event
required: true
description: 웹 로그 이벤트.
type: object
fields:
- name: datetime
required: true
type: timestamp
description: 트랜잭션의 시간과 날짜
timeFormats:
- '%Y-%m-%d %H:%M:%S'
isEventTime: true
- name: reason
type: string
description: 서비스가 수행한 작업과, 트랜잭션이 차단된 경우 적용된 정책
- name: event_id
description: 각 로그의 고유 레코드 식별자
type: string
- 이름: protocol
description: 트랜잭션의 프로토콜 유형
type: string
- 이름: action
description: 서비스가 트랜잭션에 대해 수행한 작업
type: string
- name: transactionsize
description: HTTP 트랜잭션의 총 크기(바이트)
유형: bigint
- name: responsesize
description: 헤더와 페이로드를 포함한 HTTP 응답의 총 크기(바이트)
유형: bigint
- name: requestsize
description: 요청 크기(바이트)
유형: bigint
- name: ClientIP
description: 사용자의 IP 주소
type: string
indicators:
- ip
- name: appclass
description: 액세스된 애플리케이션의 웹 애플리케이션 클래스.
type: string
- name: appname
description: 클라우드 애플리케이션의 이름
type: string
- name: bwthrottle
description: 구성된 대역폭 정책으로 인해 트랜잭션이 제한되었는지 여부를 나타냄
type: string
- name: clientpublicIP
description: 클라이언트 공용 IP 주소
type: string
indicators:
- ip
- name: contenttype
description: 콘텐츠 유형의 이름
type: string
- 이름: department
description: 사용자의 부서
type: string
- name: devicehostname
description: 장치의 호스트 이름
type: string
- name: deviceowner
description: 장치의 소유자
type: string
- name: dlpdictionaries
description: 일치한 DLP 사전(있는 경우)
type: string
- name: dlpengine
description: 일치한 DLP 엔진(있는 경우)
type: string
- name: fileclass
description: 트랜잭션 중 다운로드된 파일의 클래스
type: string
- name: filetype
description: 트랜잭션에 관련된 파일 유형.
type: string
- 이름: hostname
description: 액세스 중인 URL의 호스트 이름.
indicators:
- hostname
type: string
- name: keyprotectiontype
description: HSM Protection 또는 Software Protection 중간 CA 인증서가 사용되는지 여부를 나타냄
type: string
- 이름: location
description: 소스의 게이트웨이 위치 또는 하위 위치.
type: string
- name: pagerisk
description: 대상 URL의 Page Risk Index 점수.
type: string
- name: product
description: 제품 이름
type: string
- name: refererURL
description: referer URL
type: string
- name: requestmethod
description: 요청 메서드
type: string
- name: serverip
description: 대상 서버 IP 주소. 요청이 차단된 경우 0.0.0.0이 표시됩니다.
type: string
indicators:
- ip
- name: status
description: 응답 코드
type: string
- name: threatcategory
description: 트랜잭션에서 탐지된 멀웨어의 범주(있는 경우)
type: string
- name: threatclass
description: 트랜잭션에서 탐지된 멀웨어의 클래스(있는 경우)
type: string
- name: threatname
description: 트랜잭션에서 탐지된 위협의 이름(있는 경우)
type: string
- name: unscannabletype
description: 스캔할 수 없는 파일 형식
type: string
- 이름: url
required: true
description: 대상 URL
type: string
indicators:
- url
- name: urlcategory
description: 대상 URL의 범주
type: string
- name: urlclass
description: 대상 URL의 클래스
type: string
- name: urlsupercategory
description: 대상 URL의 상위 범주
type: string
- name: user
required: true
description: 이메일 주소 형식의 사용자의 로그인 이름
type: string
indicators:
- email
- actor_id
- username
- 이름: useragent
description: 사용자 에이전트
type: string
- name: vendor
description: 공급업체 이름
type: string
```
### Zscaler.ZIA.FWLog
방화벽 로그는 소스 및 대상 IP, 프로토콜, 포트, 세션 작업에 대한 세부 정보를 포함하여 Zscaler ZIA 방화벽이 관리하는 비웹 트래픽 이벤트를 기록합니다. 이는 애플리케이션 사용을 모니터링하고, 네트워크 정책을 시행하며, 의심스럽거나 승인되지 않은 트래픽 패턴을 식별하는 데 사용됩니다.
참조:
* [방화벽 로그 형식](https://help.zscaler.com/zia/nss-feed-output-format-firewall-logs)
```yaml
schema: Zscaler.ZIA.FWLog
description: Zscaler ZIA Firewall Log
referenceURL: https://help.zscaler.com/zia/nss-feed-output-format-firewall-logs
fields:
- name: sourcetype
required: true
description: 로그 이벤트를 생성하는 소스 유형.
type: string
- 이름: event
required: true
description: 방화벽 로그 이벤트.
type: object
fields:
- name: datetime
required: true
type: timestamp
description: 트랜잭션의 시간과 날짜
timeFormats:
- '%a %b %e %H:%M:%S %Y'
isEventTime: true
- 이름: action
description: 서비스가 트랜잭션에 대해 수행한 작업, Allowed 또는 Blocked
type: string
- name: aggregate
description: 방화벽 세션이 집계되었는지 여부를 나타냄
type: string
- name: avgduration
description: 세션이 집계된 경우 평균 세션 지속 시간(밀리초)
유형: bigint
- name: cdip
description: 클라이언트 대상 IP 주소
type: string
indicators:
- ip
- name: cdport
description: 클라이언트 소스 포트
유형: bigint
- name: csip
required: true
description: 클라이언트 소스 IP 주소
type: string
indicators:
- ip
- name: csport
description: 클라이언트 소스 포트
유형: bigint
- 이름: department
description: 사용자의 부서
type: string
- name: destcountry
description: 대상 IP 주소의 국가 약어 코드
type: string
- name: devicehostname
description: 장치의 호스트 이름
type: string
- name: deviceowner
description: 장치의 소유자
type: string
- name: dnat
description: 대상 NAT 정책이 적용되었는지 여부를 나타냄
type: string
- name: duration
description: 세션 또는 요청 지속 시간(초)
유형: bigint
- name: durationms
description: 세션 또는 요청 지속 시간(밀리초)
유형: bigint
- name: inbytes
description: 서버에서 클라이언트로 전송된 바이트 수
유형: bigint
- name: ipcat
description: 서버 IP 주소에 해당하는 URL 범주
type: string
- name: ipsrulelabel
description: 방화벽 세션에 적용된 IPS 정책의 이름
type: string
- name: locationname
description: 세션이 시작된 위치의 이름
type: string
- name: numsessions
description: 집계된 세션 수
유형: bigint
- name: nwapp
description: 액세스된 네트워크 애플리케이션
type: string
- name: nwsvc
description: 사용된 네트워크 서비스
type: string
- name: outbytes
description: 클라이언트에서 서버로 전송된 바이트 수
유형: bigint
- name: proto
description: IP 프로토콜 유형
type: string
- name: rulelabel
description: 트랜잭션에 적용된 룰의 이름
type: string
- name: sdip
description: 서버 대상 IP 주소
type: string
indicators:
- ip
- name: sdport
description: 서버 대상 포트
유형: bigint
- name: ssip
description: 서버 소스 IP 주소
type: string
indicators:
- ip
- name: ssport
description: 서버 소스 포트
유형: bigint
- name: stateful
description: 방화벽 세션이 상태 저장형인지 여부를 나타냄
type: string
- name: threatcat
description: IPS 엔진이 방화벽 세션에서 식별한 위협의 범주
type: string
- name: threatname
description: IPS 엔진이 방화벽 세션에서 탐지한 위협의 이름
type: string
- name: tsip
description: 클라이언트(소스)의 터널 IP 주소
type: string
indicators:
- ip
- name: tunsport
description: 터널 포트
유형: bigint
- name: tuntype
description: 트래픽을 방화벽으로 보내는 데 사용된 트래픽 전달 방법
type: string
- name: user
required: true
description: 이메일 주소 형식의 사용자의 로그인 이름
type: string
indicators:
- email
- username
- actor_id
```
### Zscaler.ZIA.DNSLog
DNS 로그는 허용, 차단 또는 확인되지 않은 도메인을 포함하여 Zscaler ZIA가 처리한 모든 DNS 쿼리와 응답을 캡처합니다. 이는 도메인 사용에 대한 가시성을 제공하고, 악성 또는 의심스러운 활동(예: DNS 터널링)을 탐지하는 데 도움을 주며, 보안 DNS 필터링을 위한 정책 시행을 지원합니다.
참조:
* [DNS 로그 형식](https://help.zscaler.com/zia/nss-feed-output-format-dns-logs)
```yaml
schema: Zscaler.ZIA.DNSLog
description: Zscaler ZIA DNS Log
referenceURL: https://help.zscaler.com/zia/nss-feed-output-format-dns-logs
fields:
- name: sourcetype
required: true
description: 로그 이벤트를 생성하는 소스 유형.
type: string
- 이름: event
required: true
description: dns 로그 이벤트.
type: object
fields:
- name: datetime
required: true
type: timestamp
description: 트랜잭션의 시간과 날짜
timeFormats:
- '%a %b %e %H:%M:%S %Y'
isEventTime: true
- 이름: category
type: string
description: 이벤트 범주
- name: clt_sip
description: 사용자의 IP 주소
type: string
indicators:
- ip
- 이름: department
description: 사용자의 부서
type: string
- name: devicehostname
description: 장치의 호스트 이름
type: string
- name: deviceowner
description: 장치의 소유자
type: string
- name: dns_req
description: DNS 요청
type: string
indicators:
- domain
- name: dns_reqtype
required: true
description: DNS 요청 유형
type: string
- name: dns_resp
description: DNS 응답
type: string
- name: durationms
description: DNS 요청의 지속 시간(밀리초)
유형: bigint
- 이름: location
description: 이벤트 위치
type: string
- name: reqaction
description: DNS 요청에 적용된 작업의 이름
type: string
- name: reqrulelabel
description: DNS 요청에 적용된 룰의 이름
type: string
- name: resaction
description: DNS 응답에 적용된 작업의 이름
type: string
- name: respipcategory
description: 응답 IP 범주
type: string
- name: resrulelabel
description: DNS 응답에 적용된 룰의 이름
type: string
- name: srv_dip
description: 서버 IP
type: string
indicators:
- ip
- name: srv_dport
description: 서버 포트
유형: bigint
- name: user
required: true
description: 이메일 주소 형식의 로그인 이름
type: string
indicators:
- email
- username
- actor_id
```
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.panther.com/ko/data-onboarding/supported-logs/zscaler/zia.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.