メインコンテンツまでスキップ
Sumo Logic Japanese

Zscaler Web セキュリティのログの収集

Zscaler は仮想マシン、Nanolog ストリーミング サービス (NSS) を使用して、Zscaler サービスからログをストリーミングし、Syslog を介して Sumo Logic のインストール済みコレクタにログを提供します。

Zscaler のログを収集するには、以下のセクションで詳しく説明されている次の手順を実行します。

  1. Sumo Logic のインストール済みコレクタと Syslog ソースを設定します。
  2. Zscaler NSS を設定します。
  3. Zscaler NSS フィードを Sumo Logic に接続します。

Sumo Logic のインストール済みコレクタと Syslog ソースの設定

Zscaler Web セキュリティのログを収集するには、Sumo Logic で以下の設定を行います。

  1. インストール済みコレクタ
  2. Syslog ソース

プロトコルには TCP を使用します。ポート番号をメモします。この番号は Zscaler NSS の設定で必要になります。

また、Syslog ソースを設定するときに、ソース カテゴリ security_zscaler を使用することをお勧めします。  

Zscaler NSS の設定

Zscaler には、Syslog を介して Web ログを外部 SIEM にストリーミングする、Nanolog ストリーミング サービス (NSS) と呼ばれる仮想アプライアンスが用意されています。NSS は Zscaler によって Open Virtual Application (OVA) として管理および配布されています。

ログを Sumo Logic Syslog ソースにストリーミングするには、https://support.zscaler.com/hc/en-us...guration-Guide にある『NSS Configuration Guid (NSS 設定ガイド)』で説明されている手順 A、B、C を実行します。

Zscaler NSS フィードの Sumo Logic への接続

Zscaler NSS を設定したら、以下の手順に従って Sumo Logic syslog エンドポイントにログを送信するフィードを追加します。

  1. Zscaler NSS システムにログインします。
  2. [Administration (管理)] > [Settings (設定)] > [Nanolog Streaming Service (Nanolog ストリーミング サービス)] に移動します。
  3. [NSS Feeds (NSS フィード)] タブで、[Add (追加)] をクリックします。
  4. [Add NSS Feed (NSS フィードの追加)] ダイアログで、以下を設定します。
    1. Feed Name (フィード名)。NSS フィードの名前を入力します。
    2. NSS Server (NSS サーバ)。[None (なし)] を選択します。 
    3. SIEM IP Address (SIEM IP アドレス)。Sumo Logic のインストール済みコレクタの IP アドレスを入力します。
    4. Log Type (ログ タイプ)。[Web Log (Web ログ)] を選択します。
    5. Feed Output Type (フィード出力タイプ)。[QRadar LEEF] がデフォルトです。
    6. NSS Type (NSS タイプ)。[NSS for Web (Web 用 NSS)] がデフォルトです。
    7. Status (ステータス): [Enabled (有効)] を選択します。
    8. SIEM TCP Port (SIEM TCP ポート)。Sumo Logic Syslog ソース TCP ポート番号を入力します。
    9. Feed Escape Character (フィードのエスケープ文字)。このフィールドは空白にしておきます。
    10. Feed Output Format (フィード出力フォーマット)。LEEF フォーマットが表示されています。
    11. User Obfuscation (ユーザ難読化)。[Disabled (無効)] を選択します。
    12. Duplicate Logs (重複するログ)。[Disabled (無効)] がデフォルトです。
    13. Timezone (タイムゾーン): [GMT] がデフォルトで設定されています。
  5. [Save (保存)] をクリックします。

ログ メッセージのサンプル

Mon Oct 02 16:21:40 UTC 2017 zscaler-nss: LEEF:1.0|Zscaler|NSS|4.1|NA|filetype=Archive Files dlpeng=NA cat=Blocked useragent=NA hostname=NA src=185.27.134.11 url=www.electrichumanproject.com/ policy=Malicious file Blocked urlsupercategory=Shopping and Auctions srcPostNAT=NA reqmethod=NA bwthrottle=NA devTimeFormat=MMM dd yyyy HH:mm:ss z referer=None srcBytes=31386 usrName=tempor@demo.com malwareclass=NA appproto=NA riskscore=0 dlpdict=NA devTime=Mon Oct 02 16:21:40 UTC 2017 recordid=69790990 dst=91.171.43.14 appname=Yandex Search role=NA malwaretype=NA appclass=Enterprise urlcategory=Sports urlclass=NA realm=EMEA dstBytes=596219 threatname=W32/Tool.IJQF-0856 fileclass=Executables Files

クエリのサンプル

レルム別ポリシー違反

_sourceCategory = "zscaler" !"cat=Allowed" 
| parse "policy=*\t" as policy, "realm=*\t" as realm
| parse "src=*\t" as src_ip, "usrName=*\t" as src_user
| count by policy,realm
| transpose row realm column policy

 

  • この記事は役に立ちましたか?