Zscaler Web セキュリティ アプリケーションのログ収集
Zscaler は仮想マシン、Nanolog ストリーミング サービス (NSS) を使用して、Zscaler サービスからログをストリーミングし、Syslog を介して Sumo Logic の Installed Collector にログを提供します。
Zscaler のログを収集するには、以下のセクションで詳しく説明されている次の手順を実行します。
- Sumo Logic の Installed Collector と Syslog Source を設定します。
- Zscaler NSS を設定します。
- Zscaler NSS フィードを Sumo Logic に接続します。
Sumo Logic の Installed Collector と Syslog Source の設定
Zscaler Web セキュリティのログを収集するには、Sumo Logic で以下の手順を実行します。
- Installed Collector を設定します。
- Syslog Source を設定します。プロトコルには TCP を使用します。
Zscaler NSS の設定
Zscaler には、Syslog を介して Web ログを外部 SIEM にストリーミングする、Nanolog ストリーミング サービス (NSS) と呼ばれる仮想アプライアンスが用意されています。NSS は Zscaler によって Open Virtual Application (OVA) として管理および配布されています。
ログを Sumo Logic Syslog Source にストリーミングするには、https://support.zscaler.com/hc/en-us...guration-Guide にある『NSS Configuration Guid (NSS 設定ガイド)』で説明されている手順 A、B、C を実行します。
Zscaler NSS フィードの Sumo Logic への接続
Zscaler NSS を設定したら、以下の手順に従って Sumo Logic syslog エンドポイントにログを送信するフィードを追加します。
- Zscaler NSS システムにログインします。
- [Administration (管理)] > [Settings (設定)] > [Nanolog Streaming Service (Nanolog ストリーミング サービス)] に移動します。
- [NSS Feeds (NSS フィード)] タブで、[Add (追加)] をクリックします。
- [Add NSS Feed (NSS フィードの追加)] ダイアログで、以下を設定します。
- Feed Name (フィード名)。NSS フィードの名前を入力します。
- NSS Server (NSS サーバ)。[None (なし)] を選択します。
- SIEM IP Address (SIEM IP アドレス)。Sumo Logic の Installed Collector の IP アドレスを入力します。
- Log Type (ログ タイプ)。[Web Log (Web ログ)] を選択します。
- Feed Output Type (フィード出力タイプ)。[QRadar LEEF] がデフォルトです。
- NSS Type (NSS タイプ)。[NSS for Web (Web 用 NSS)] がデフォルトです。
- ステータス。[Enabled (有効)] を選択します。
- SIEM TCP Port (SIEM TCP ポート)。Sumo Logic Syslog Source TCP ポート番号を入力します。
- Feed Escape Character (フィードのエスケープ文字)。このフィールドは空白にしておきます。
- Feed Output Format (フィード出力形式)。LEEF 形式が表示されています。
- User Obfuscation (ユーザ難読化)。[Disabled (無効)] を選択します。
- Duplicate Logs (重複するログ)。[Disabled (無効)] がデフォルトです。
- Timezone (タイムゾーン): [GMT] がデフォルトで設定されています。
- [Save (保存)] をクリックします。
ログ メッセージのサンプル
Mon Oct 02 16:21:40 UTC 2017 zscaler-nss: LEEF:1.0|Zscaler|NSS|4.1|NA|filetype=Archive Files dlpeng=NA cat=Blocked useragent=NA hostname=NA src=185.27.134.11 url=www.electrichumanproject.com/ policy=Malicious file Blocked urlsupercategory=Shopping and Auctions srcPostNAT=NA reqmethod=NA bwthrottle=NA devTimeFormat=MMM dd yyyy HH:mm:ss z referer=None srcBytes=31386 usrName=tempor@demo.com malwareclass=NA appproto=NA riskscore=0 dlpdict=NA devTime=Mon Oct 02 16:21:40 UTC 2017 recordid=69790990 dst=91.171.43.14 appname=Yandex Search role=NA malwaretype=NA appclass=Enterprise urlcategory=Sports urlclass=NA realm=EMEA dstBytes=596219 threatname=W32/Tool.IJQF-0856 fileclass=Executables Files
クエリのサンプル
レルム別ポリシー違反
_sourceCategory = "zscaler" !"cat=Allowed"
| parse "policy=*\t" as policy, "realm=*\t" as realm
| parse "src=*\t" as src_ip, "usrName=*\t" as src_user
| count by policy,realm
| transpose row realm column policy