メインコンテンツまでスキップ
Sumo Logic Japanese

Zscaler Web セキュリティ アプリケーションのログ収集

Zscaler は仮想マシン、Nanolog ストリーミング サービス (NSS) を使用して、Zscaler サービスからログをストリーミングし、Syslog を介して Sumo Logic の Installed Collector にログを提供します。

Zscaler のログを収集するには、以下のセクションで詳しく説明されている次の手順を実行します。

  1. Sumo Logic の Installed Collector と Syslog Source を設定します。
  2. Zscaler NSS を設定します。
  3. Zscaler NSS フィードを Sumo Logic に接続します。

- New Page.png

Sumo Logic の Installed Collector と Syslog Source の設定

Zscaler Web セキュリティのログを収集するには、Sumo Logic で以下の手順を実行します。

  1. Installed Collector を設定します。
  2. Syslog Source を設定します。プロトコルには TCP を使用します。

Zscaler NSS の設定

Zscaler には、Syslog を介して Web ログを外部 SIEM にストリーミングする、Nanolog ストリーミング サービス (NSS) と呼ばれる仮想アプライアンスが用意されています。NSS は Zscaler によって Open Virtual Application (OVA) として管理および配布されています。

ログを Sumo Logic Syslog Source にストリーミングするには、https://support.zscaler.com/hc/en-us...guration-Guide にある『NSS Configuration Guid (NSS 設定ガイド)』で説明されている手順 A、B、C を実行します。

Zscaler NSS フィードの Sumo Logic への接続

Zscaler NSS を設定したら、以下の手順に従って Sumo Logic syslog エンドポイントにログを送信するフィードを追加します。

  1. Zscaler NSS システムにログインします。
  2. [Administration (管理)] > [Settings (設定)] > [Nanolog Streaming Service (Nanolog ストリーミング サービス)] に移動します。
  3. [NSS Feeds (NSS フィード)] タブで、[Add (追加)] をクリックします。
  4. [Add NSS Feed (NSS フィードの追加)] ダイアログで、以下を設定します。
    1. Feed Name (フィード名)。NSS フィードの名前を入力します。
    2. NSS Server (NSS サーバ)。[None (なし)] を選択します。 
    3. SIEM IP Address (SIEM IP アドレス)。Sumo Logic の Installed Collector の IP アドレスを入力します。
    4. Log Type (ログ タイプ)。[Web Log (Web ログ)] を選択します。
    5. Feed Output Type (フィード出力タイプ)。[QRadar LEEF] がデフォルトです。
    6. NSS Type (NSS タイプ)。[NSS for Web (Web 用 NSS)] がデフォルトです。
    7. ステータス。[Enabled (有効)] を選択します。
    8. SIEM TCP Port (SIEM TCP ポート)。Sumo Logic Syslog Source TCP ポート番号を入力します。
    9. Feed Escape Character (フィードのエスケープ文字)。このフィールドは空白にしておきます。
    10. Feed Output Format (フィード出力形式)。LEEF 形式が表示されています。
    11. User Obfuscation (ユーザ難読化)。[Disabled (無効)] を選択します。
    12. Duplicate Logs (重複するログ)。[Disabled (無効)] がデフォルトです。
    13. Timezone (タイムゾーン): [GMT] がデフォルトで設定されています。
  5. [Save (保存)] をクリックします。

ログ メッセージのサンプル

Mon Oct 02 16:21:40 UTC 2017 zscaler-nss: LEEF:1.0|Zscaler|NSS|4.1|NA|filetype=Archive Files dlpeng=NA cat=Blocked useragent=NA hostname=NA src=185.27.134.11 url=www.electrichumanproject.com/ policy=Malicious file Blocked urlsupercategory=Shopping and Auctions srcPostNAT=NA reqmethod=NA bwthrottle=NA devTimeFormat=MMM dd yyyy HH:mm:ss z referer=None srcBytes=31386 usrName=tempor@demo.com malwareclass=NA appproto=NA riskscore=0 dlpdict=NA devTime=Mon Oct 02 16:21:40 UTC 2017 recordid=69790990 dst=91.171.43.14 appname=Yandex Search role=NA malwaretype=NA appclass=Enterprise urlcategory=Sports urlclass=NA realm=EMEA dstBytes=596219 threatname=W32/Tool.IJQF-0856 fileclass=Executables Files

クエリのサンプル

レルム別ポリシー違反

_sourceCategory = "zscaler" !"cat=Allowed" 
| parse "policy=*\t" as policy, "realm=*\t" as realm
| parse "src=*\t" as src_ip, "usrName=*\t" as src_user
| count by policy,realm
| transpose row realm column policy