Zscaler ZPA
ZPA 로그를 Panther 콘솔에 연결하기
개요
Panther는 다음을 사용하여 수집을 지원합니다 Zscaler HTTP 또는 AWS S3 데이터 전송 소스를 사용하여 Private Access (ZPA) 로그를 수집합니다. 다음 ZPA 로그 유형이 지원됩니다:
Panther에 Zscaler ZPA 로그를 온보딩하려면 Zscaler ZPA 구독이 필요합니다.
Zscaler ZPA 로그를 Panther에 온보딩하는 방법
Panther에서 ZPA 로그를 수집하려면 Panther에서 로그 소스를 생성한 다음 App Connector와 Log Receiver를 구성합니다.
전제 조건
Zscaler ZPA 콘솔에 접근할 수 있는 권한이 있어야 합니다.
1단계: Panther에서 Zscaler ZPA 소스 설정
Panther 콘솔의 왼쪽 탐색 표시줄에서 구성 > 로그 소스.
오른쪽 상단에서 새로 만들기
"Zscaler ZPA"를 검색한 다음 해당 타일을 클릭합니다.
클릭 설정 시작.
선택한 데이터 전송 방법을 구성하기 위한 Panther의 지침을 따르십시오:
HTTP: Panther의 HTTP 소스 구성 지침, 5단계부터 시작합니다.
설정 중 보안 구성 페이지에서, 공유 비밀 단순성 때문에 권장됩니다.
이 소스로 전송되는 페이로드는 모든 HTTP 소스에 대한 페이로드 요구 사항.
HTTP 엔드포인트 생성이 완료될 때까지 다음 단계로 진행하지 마십시오.
S3: 다음을 따르십시오 S3 소스 구성에 대한 Panther의 지침.
다음을 따르십시오 Panther에서 S3 소스 설정에 대한 지침, 1.5단계부터 시작합니다.
2단계: ZPA에 App Connector 생성 및 배포
이미 기존 Zscaler 인프라의 일부로 App Connector가 배포되어 있다면 이를 Panther로 로그 전달에 사용할 수 있습니다. 그런 경우 이 단계를 건너뛸 수 있습니다.
다음과 같이 앱 커넥터:
Zscaler 콘솔에서 App Connector 추가는 Zscaler의 앱 커넥터 구성 문서를 따라 진행하십시오.
앱 커넥터를 지원되는 플랫폼 중 선택한 플랫폼에 배포하려면 지원되는 플랫폼용 App Connector 배포 안내서.
배포에 대한 자세한 내용은 앱 커넥터 배포에 대해.
ZPA 콘솔에서 구성 및 제어 > 프라이빗 인프라스트럭처 > 앱 커넥터로 이동하여 App Connector 인스턴스의 상태를 모니터링할 수 있습니다..
3단계: 하나 이상의 Log Receiver 구성
Log Receiver는 App Connector에서 ZPA 로그가 포함된 TCP 트래픽을 수신한 다음 Panther의 HTTP 또는 S3 로그 소스로 전달할 수 있는 모든 저장 위치입니다.
Log Receiver로 Fluent Bit 사용을 권장하지만 필요에 따라 다른 Log Receiver를 사용할 수 있습니다. 아래 지침은 Fluent Bit 사용을 전제로 합니다.
3.1단계: Fluent Bit 서비스 배포
데이터 전송으로 HTTP를 사용하는 경우:
다음을 따르십시오 Fluent Bit 온보딩 가이드 Panther 문서에서 1단계와 2단계를 건너뛰고 따르십시오. (이미 생성한 ZPA HTTP 소스를 사용합니다.)
에서
[INPUT]변수:이름: 다음으로 설정:
tcp리스닝: 다음으로 설정:
0.0.0.0태그: 다음으로 설정:
tcp_log포트: 원하는 포트로 설정
형식: 다음으로 설정:
none
TCP 입력에 대해 TLS를 선택적으로 활성화하려면 다음 항목들을
[INPUT]변수:tls:
ontls.verify:
ontls.key_file:
{tls_key_path}tls.cert_file:
{certificate_path}
완성된 구성 파일은 다음과 유사해야 합니다: Fluent Bit 구성 예제의 Panther HTTP 소스 더미 예제.
데이터 전송으로 S3를 사용하는 경우:
다음을 따르십시오 Fluent Bit 온보딩 가이드 Panther 문서에서.
다음을 사용하십시오 Fluent Bit 구성 예제의 TCP to Amazon S3 예제 를 참조로 사용하십시오.
TCP 입력 간 TLS를 선택적으로 활성화하려면 다음 항목들을 추가하십시오
[INPUT]변수:tls:
ontls.verify:
ontls.key_file:
{tls_key_path}tls.cert_file:
{certificate_path}
3.2단계: ZPA에서 하나 이상의 Log Receiver 구성
Panther로 전달하려는 각 로그 유형마다 별도의 Log Receiver를 생성해야 합니다. (이 모든 로그 유형에 대해 동일한 Fluent Bit 인스턴스와 Panther의 로그 소스[HTTP 엔드포인트 또는 S3 버킷]를 사용할 수 있습니다.)
Panther로 수집하려는 각 로그 유형에 대해 Zscaler의 로그 리시버 구성 문서의 지침을 따라 로그 리시버를 추가하십시오. 다음 입력 지침을 참고하십시오:
에서 로그 리시버 탭:
도메인 또는 IP 주소: Fluent Bit 서비스의 도메인 또는 IP를 입력합니다.
TCP 포트: Fluent Bit 서비스가 실행 중인 포트를 입력합니다.
TLS 암호화: 선택 사용 Fluent Bit 구성 파일에서 이전 단계에 TLS를 활성화했고 Fluent Bit 입력에 대해 TLS 암호화를 요구하는 경우 선택합니다.
에서 로그 스트림 탭:
로그 유형: Panther에서 지원하는 로그 유형 중 하나를 선택합니다.
로그 템플릿: 선택 JSON.
지원되는 로그 유형
Zscaler.ZPA.AuditLog
감사 로그는 로그인, 로그아웃 및 리소스 작업(예: 생성 및 업데이트)과 같은 ZPA 콘솔의 주요 이벤트를 기록합니다. 감사 로그는 주로 잠재적으로 의심스러운 활동을 조사하거나 오류를 진단하고 문제를 해결하는 데 사용됩니다.
참조:
Zscaler.ZPA.UserActivity
사용자 활동 로그는 사용자가 ZPA 서비스를 통해 내부 애플리케이션에 액세스할 때 수행하는 다양한 활동을 캡처하고 기록합니다. 사용자 활동 로그는 무단 액세스 시도를 조사하고 규정 준수 모니터링을 수행하며 비정상적인 애플리케이션 접근 패턴을 식별하는 데 사용할 수 있습니다.
참조: 사용자 활동 로그의 형식
Zscaler.ZPA.UserStatus
사용자 상태 로그는 ZPA 환경 내에서 사용자의 연결 및 상태에 대한 상세 정보를 제공합니다. 이는 사용자의 실시간 액세스 동작을 모니터링하고, 연결 문제를 진단하며, 사용자 관점에서 전체 시스템 상태를 추적하는 데 도움이 됩니다.
참조: 사용자 상태 로그의 형식
Zscaler.ZPA.AppConnectorStatus
앱 커넥터 상태 로그는 App Connector의 상태, 상태 및 운영 동작에 대한 자세한 정보를 제공합니다. 이러한 로그를 모니터링하면 관리자가 App Connector가 효율적으로 작동하는지 확인하고 문제를 해결하며 서비스 신뢰성을 유지하고 애플리케이션의 오용 또는 공격과 같은 잠재적인 보안 사고를 탐지하는 데 도움이 됩니다.
참조: 앱 커넥터 상태 로그의 형식
Zscaler.ZPA.AppConnectorMetrics
App Connector 메트릭 로그는 App Connector의 운영 상태 및 성능에 대한 자세한 정보를 제공합니다. 이러한 로그를 모니터링하면 리소스 고갈(예: DDoS 공격), 무단 액세스, 데이터 유출 시도 및 손상된 커넥터와 같은 주요 보안 사례를 관리자들이 진단하는 데 도움이 됩니다.
마지막 업데이트
도움이 되었나요?