Zscaler ZPA
ZPA 로그를 Panther 콘솔에 연결하기
개요
Panther는 다음을 수집하는 것을 지원합니다 Zscaler 개인용 액세스(ZPA) 로그는 HTTP 또는 AWS S3 데이터 전송 소스를 사용하여 기록됩니다. 다음 ZPA 로그 유형이 지원됩니다:
Panther에 Zscaler ZPA 로그를 온보드하려면 Zscaler ZPA 구독이 있어야 합니다.
Zscaler ZPA 로그를 Panther에 온보드하는 방법
Panther에서 ZPA 로그를 수집하려면 Panther에 로그 소스를 생성한 다음 App Connector와 Log Receiver를 구성합니다.
사전 요구 사항
Zscaler ZPA 콘솔에 액세스할 수 있는 권한이 있어야 합니다.
단계 1: Panther에서 Zscaler ZPA 소스 설정
Panther 콘솔의 왼쪽 탐색 바에서 다음을 클릭합니다 구성 > 로그 소스.
오른쪽 상단에서 클릭하십시오 새로 만들기(Create New)를 클릭하세요.
"Zscaler ZPA"를 검색한 다음 해당 타일을 클릭하십시오.
클릭 설정 시작.
선택한 데이터 전송 방법을 구성하기 위해 Panther의 지침을 따르십시오:
“GitHub Webhooks”를 검색한 다음 해당 타일을 클릭하세요.: Panther의 지침을 따르십시오 HTTP 소스 구성에 대한 지침을 따르세요, 5단계부터 시작합니다.
설정 중 보안 구성 페이지에서 공유 시크릿 간단함 때문에 권장됩니다.
이 소스로 전송되는 페이로드는 다음의 모든 HTTP 소스에 대한 페이로드 요구사항.
HTTP 엔드포인트 생성이 완료될 때까지 다음 단계로 진행하지 마세요.
S3지침을 따라 GraphQL API URL을 찾으세요 S3 소스를 구성하기 위한 Panther의 지침.
다음을 따르세요 Panther에서 S3 소스를 설정하는 방법에 대한 지침, 1.5단계부터 시작합니다.
단계 2: ZPA에서 App Connector 생성 및 배포
생성 및 배포하려면 App Connector:
Zscaler 콘솔에서 App Connector를 추가하려면 Zscaler의 지침을 따르십시오 App Connector 구성 문서.
App Connector를 다음 플랫폼에 배포하십시오, 지원되는 플랫폼 선택한 플랫폼에 대한 관련 가이드를 따라 배포하십시오 지원되는 플랫폼용 App Connector 배포 가이드.
배포에 대해 자세히 알아보려면 App Connector 배포에 관하여.
ZPA 콘솔에서 구성 요소의 상태를 모니터링하려면 다음으로 이동하십시오 구성 및 제어 > 프라이빗 인프라 > App Connectors.
단계 3: 하나 이상의 Log Receiver 구성
Log Receiver는 App Connector에서 ZPA 로그가 포함된 TCP 트래픽을 수신한 다음 이를 Panther의 HTTP 또는 S3 로그 소스로 전달할 수 있는 모든 저장 위치입니다.
Log Receiver로 Fluent Bit을 사용하는 것이 권장되지만 필요에 따라 다른 Log Receiver를 사용할 수 있습니다. 아래 지침은 Fluent Bit을 사용한다고 가정합니다.
단계 3.1: Fluent Bit 서비스 배포
데이터 전송으로 HTTP를 사용하는 경우:
다음을 따르세요 Fluent Bit 온보딩 가이드 Panther 문서에서 1단계와 2단계를 건너뛰고 따르십시오. (이미 생성한 ZPA HTTP 소스를 사용합니다.)
위의
[INPUT]변수:이름: 다음으로 설정하십시오
tcp수신: 다음으로 설정하십시오
0.0.0.0태그: 다음으로 설정하십시오
tcp_log포트: 원하는 포트로 설정하십시오
형식다음으로 설정:
none
TCP 입력에 대해 TLS를 선택적으로 활성화하려면 다음 항목을 구성에 추가할 수 있습니다
[INPUT]변수:tls:
)를 가진 결과 집합을 생성한 후tls.verify:
)를 가진 결과 집합을 생성한 후tls.key_file:
{tls_key_path}tls.cert_file:
{certificate_path}
완성된 구성 파일은 다음과 유사해야 합니다 Fluent Bit 구성 예제의 Panther HTTP 소스에 대한 더미 예시.
데이터 전송으로 S3를 사용하는 경우:
다음을 따르세요 Fluent Bit 온보딩 가이드 Panther 문서에서 참조하십시오.
다음을 사용하세요 Fluent Bit 구성 예제의 TCP에서 Amazon S3로 예제 참조용으로 사용하십시오.
TCP 입력과의 TLS를 선택적으로 활성화하려면 다음 항목을 구성에 추가할 수 있습니다
[INPUT]변수:tls:
)를 가진 결과 집합을 생성한 후tls.verify:
)를 가진 결과 집합을 생성한 후tls.key_file:
{tls_key_path}tls.cert_file:
{certificate_path}
단계 3.2: ZPA에서 하나 이상의 Log Receiver 구성
Panther에서 수집하려는 각 로그 유형에 대해 Zscaler의 지침에 따라 로그 리시버를 추가하십시오 Log Receiver 구성 문서. 다음 입력 지침을 참고하십시오:
다음 로그 리시버 탭:
도메인 또는 IP 주소: Fluent Bit 서비스의 도메인 또는 IP를 입력하십시오.
TCP 포트: Fluent Bit 서비스가 실행 중인 포트를 입력하십시오.
TLS 암호화: 선택하세요 Enabled Fluent Bit 구성 파일에서 이전 단계에 TLS를 활성화했고 Fluent Bit 입력으로 전송되는 데이터에 대해 TLS 암호화가 필요한 경우 선택하십시오.
다음 로그 스트림 탭:
로그 유형: Panther에서 지원하는 로그 유형 중 하나를 선택하십시오.
로그 템플릿: 다음을 선택하십시오 JSON.
지원되는 로그 유형
Zscaler.ZPA.AuditLog
감사 로그는 로그인, 로그아웃 및 리소스 작업(생성 및 업데이트와 같은)과 같은 ZPA 콘솔의 주요 이벤트를 기록합니다. 감사 로그는 잠재적으로 의심스러운 활동을 조사하거나 오류를 진단하고 문제를 해결하는 데 주로 사용됩니다.
참조:
Zscaler.ZPA.UserActivity
사용자 활동 로그는 사용자가 ZPA 서비스를 통해 내부 애플리케이션에 액세스할 때 수행하는 다양한 활동을 캡처하고 기록합니다. 사용자 활동 로그는 무단 액세스 시도를 조사하고, 컴플라이언스 모니터링을 수행하며, 비정상적인 애플리케이션 접근 패턴을 식별하는 데 사용할 수 있습니다.
고객의 테넌트에서 Microsoft 또는 파트너 보안 솔루션이 식별한 잠재적인 보안 문제를 나타냅니다. 사용자 활동 로그의 형식
Zscaler.ZPA.UserStatus
사용자 상태 로그는 ZPA 환경 내 사용자의 연결 및 상태에 대한 상세 정보를 제공합니다. 이는 사용자의 실시간 접근 동작 모니터링, 연결 문제 진단 및 사용자 관점에서 전체 시스템 상태 추적에 도움이 됩니다.
고객의 테넌트에서 Microsoft 또는 파트너 보안 솔루션이 식별한 잠재적인 보안 문제를 나타냅니다. 사용자 상태 로그의 형식
Zscaler.ZPA.AppConnectorStatus
App Connector 상태 로그는 App Connector의 상태, 상태 및 운영 동작에 대한 상세 정보를 제공합니다. 이러한 로그를 모니터링하면 관리자가 App Connector가 효율적으로 작동하는지 확인하고 문제를 해결하며 서비스 안정성을 유지하고 공격 또는 애플리케이션 오용과 같은 잠재적 보안 사고를 탐지하는 데 도움이 됩니다.
고객의 테넌트에서 Microsoft 또는 파트너 보안 솔루션이 식별한 잠재적인 보안 문제를 나타냅니다. App Connector 상태 로그의 형식
Zscaler.ZPA.AppConnectorMetrics
App Connector 메트릭 로그는 App Connector의 운영 상태 및 성능에 대한 상세 정보를 제공합니다. 이러한 로그를 모니터링하면 관리자들이 리소스 고갈(예: DDoS 공격), 무단 액세스, 데이터 유출 시도 및 손상된 커넥터와 같은 주요 보안 사례를 진단하는 데 도움이 됩니다.
고객의 테넌트에서 Microsoft 또는 파트너 보안 솔루션이 식별한 잠재적인 보안 문제를 나타냅니다. App Connector 메트릭 로그의 형식
Last updated
Was this helpful?