Zscaler ZPA
ZPA 로그를 Panther 콘솔에 연결하기
개요
Panther는 다음을 수집하는 것을 지원합니다 Zscaler Private Access (ZPA) 로그는 HTTP 또는 AWS S3 데이터 전송 소스를 사용하여 수집할 수 있습니다. 다음 ZPA 로그 유형들이 지원됩니다:
Panther에 Zscaler ZPA 로그를 온보딩하려면 Zscaler ZPA 구독이 있어야 합니다.
Zscaler ZPA 로그를 Panther에 온보딩하는 방법
Panther에서 ZPA 로그를 수집하려면 Panther에 로그 소스를 생성한 다음 App Connector 및 Log Receiver를 구성합니다.
사전 요구 사항
Zscaler ZPA 콘솔에 접근할 수 있는 권한이 있어야 합니다.
1단계: Panther에서 Zscaler ZPA 소스 설정
Panther 콘솔의 왼쪽 탐색 창에서 구성 > 로그 소스.
오른쪽 상단에서 클릭하십시오 새로 만들기.
"Zscaler ZPA"를 검색한 다음 해당 타일을 클릭하십시오.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정 시작.
선택한 데이터 전송 방법을 구성하기 위해 Panther의 지침을 따르십시오:
HTTP: Panther의 지침을 따르세요 HTTP 소스 구성에 대한 지침을 따르세요5단계부터 시작하여.
설정 중 보안 구성 페이지에서, 공유 비밀(Shared Secret) 은(는) 그 단순성으로 인해 권장됩니다.
이 소스로 전송된 페이로드는 다음의 적용을 받습니다 모든 HTTP 소스에 대한 페이로드 요구사항.
HTTP 엔드포인트 생성이 완료될 때까지 다음 단계로 진행하지 마세요.
S3: 다음을 따르세요 Panther의 S3 소스 구성 지침.
다음을 따르세요 Panther에서 S3 소스를 설정하는 방법에 대한 지침1.5단계부터 시작합니다.
2단계: ZPA에서 App Connector 생성 및 배포
이미 기존 Zscaler 인프라의 일부로 App Connector를 배포해 두었다면, 해당 인스턴스를 Panther로 로그를 전달하는 데에도 사용할 수 있습니다. 이 경우 이 단계를 건너뛸 수 있습니다.
다음을 생성하고 배포하려면 App Connector:
Zscaler 콘솔에서 App Connector를 추가하려면 Zscaler의 지침을 따르십시오 App Connector 구성 문서.
선택한 지원되는 플랫폼 에서 관련 가이드를 따라 App Connector를 배포하십시오. 지원되는 플랫폼용 App Connector 배포 가이드.
배포에 대해 자세히 알아보려면 App Connector 배포에 관하여.
ZPA 콘솔에서 Configuration & Control → Private Infrastructure → App Connectors로 이동하여 App Connector 인스턴스의 상태를 모니터링할 수 있습니다. Configuration & Control > Private Infrastructure > App Connectors.
3단계: 하나 이상의 Log Receiver 구성
Log Receiver는 App Connector로부터 ZPA 로그가 포함된 TCP 트래픽을 수신한 다음 Panther의 HTTP 또는 S3 로그 소스로 전달할 수 있는 모든 저장 위치입니다.
TCP 입력에 대해 Fluent Bit을 Log Receiver로 사용하는 것이 권장되지만, 필요에 따라 다른 Log Receiver를 사용할 수 있습니다. 아래 지침은 Fluent Bit을 사용한다고 가정합니다.
3.1단계: Fluent Bit 서비스 배포
데이터 전송으로 HTTP를 사용하는 경우:
다음을 따르세요 Fluent Bit 온보딩 가이드 Panther 문서에서 1단계와 2단계를 건너뛰고 따르십시오. (이미 생성한 ZPA HTTP 소스를 사용하게 됩니다.)
일반 구성
[INPUT]변수:이름: 다음을 로 설정하십시오
tcp리스닝: 다음으로 설정하십시오
0.0.0.0태그: 다음으로 설정하십시오
tcp_log포트: 원하는 포트로 설정하십시오
형식: 다음으로 설정
없음
TCP 입력에 대해 TLS를 선택적으로 활성화하려면 구성 파일에 다음 항목을 추가하십시오:
[INPUT]변수:tls:
켜기tls.verify:
켜기tls.key_file:
{tls_key_path}tls.cert_file:
{certificate_path}
완성된 구성 파일은 다음과 유사해야 합니다: Fluent Bit 구성 예제의 Panther HTTP 소스 더미 예제.
데이터 전송으로 S3를 사용하는 경우:
다음을 따르세요 Fluent Bit 온보딩 가이드 Panther 문서에서
다음을 사용하세요 Fluent Bit 구성 예제의 TCP to Amazon S3 예제를 참고 자료로 사용하십시오.
TCP 입력에 대해 TLS를 선택적으로 활성화하려면 구성 파일에 다음 항목을 추가할 수 있습니다:
[INPUT]변수:tls:
켜기tls.verify:
켜기tls.key_file:
{tls_key_path}tls.cert_file:
{certificate_path}
3.2단계: ZPA에서 하나 이상의 Log Receiver 구성
Panther로 전달하려는 각 로그 유형마다 별도의 Log Receiver를 생성해야 합니다. (이 모든 로그 유형에 대해 동일한 Fluent Bit 인스턴스와 Panther의 동일한 로그 소스[HTTP 엔드포인트 또는 S3 버킷]를 사용할 수 있습니다.)
Panther로 수집하려는 각 로그 유형에 대해 Zscaler의 지침을 따라 로그 리시버를 추가하십시오: Log Receiver 구성 문서. 다음 입력 지침에 유의하십시오:
페이지에서 로그 리시버 로 설정됩니다. 룰을 비활성화하려면 토글을
도메인 또는 IP 주소: Fluent Bit 서비스의 도메인 또는 IP를 입력하십시오.
TCP 포트: Fluent Bit 서비스가 실행 중인 포트를 입력하십시오.
TLS 암호화: 선택하세요 사용 Fluent Bit 구성 파일의 이전 단계에서 TLS를 활성화했고 Fluent Bit 입력으로 전송되는 데이터에 대해 TLS 암호화가 필요한 경우 설정하십시오.
페이지에서 로그 스트림 로 설정됩니다. 룰을 비활성화하려면 토글을
로그 유형: 다음 중 하나를 선택하십시오 Panther에서 지원하는 로그 유형.
로그 템플릿: JSON.
지원되는 로그 유형
Zscaler.ZPA.AuditLog
감사 로그는 로그인, 로그아웃 및 리소스 작업(생성 및 업데이트 등)과 같은 ZPA 콘솔의 주요 이벤트를 기록합니다. 감사 로그는 주로 잠재적으로 의심스러운 활동을 조사하거나 오류를 진단하고 문제를 해결하는 데 사용됩니다.
참조:
Zscaler.ZPA.UserActivity
사용자 활동 로그는 사용자가 ZPA 서비스를 통해 내부 애플리케이션에 접근할 때 수행한 다양한 활동을 캡처하고 기록합니다. 사용자 활동 로그는 무단 접근 시도 조사, 규정 준수 모니터링 수행 및 비정상적인 애플리케이션 접근 패턴 식별에 사용될 수 있습니다.
참고: 사용자 활동 로그 형식
Zscaler.ZPA.UserStatus
사용자 상태 로그는 ZPA 환경 내 사용자들의 연결 및 상태에 대한 자세한 정보를 제공합니다. 이는 사용자의 실시간 접근 행동을 모니터링하고, 연결 문제를 진단하며, 사용자 관점에서 전체 시스템 상태를 추적하는 데 도움이 됩니다.
참고: 사용자 상태 로그 형식
Zscaler.ZPA.AppConnectorStatus
App Connector 상태 로그는 App Connector의 상태, 상태 정보 및 운영 동작에 대한 자세한 정보를 제공합니다. 이러한 로그를 모니터링하면 관리자가 App Connector가 효율적으로 작동하는지 확인하고 문제를 해결하며 서비스 신뢰성을 유지하고 공격 또는 애플리케이션 오용과 같은 잠재적 보안 사고를 탐지하는 데 도움이 됩니다.
Zscaler.ZPA.AppConnectorMetrics
App Connector 메트릭 로그는 App Connector의 운영 상태 및 성능에 대한 자세한 정보를 제공합니다. 이러한 로그를 모니터링하면 리소스 고갈(예: DDoS 공격), 무단 접근, 데이터 유출 시도 및 손상된 커넥터와 같은 주요 보안 사례를 진단하는 데 도움이 됩니다.
마지막 업데이트
도움이 되었나요?