Quellkonfiguration für Zscaler Internet Access - Amazon CloudWatch
Integration mit Zscaler Internet AccessAnweisungen zur Einrichtung von Amazon S3 und Amazon SQSKonfiguration der CloudWatch PipelineUnterstützte Open Cybersecurity Schema Framework-Eventklassen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Quellkonfiguration für Zscaler Internet Access

Integration mit Zscaler Internet Access

Zscaler Internet Access (ZIA) ist ein cloudbasiertes sicheres Web-Gateway, das Benutzer schützt, die eine Verbindung zum Internet herstellen. Es überprüft den gesamten Internetverkehr, um Malware, Phishing und Datenlecks mithilfe fortschrittlicher Bedrohungserkennung und SSL-Inspektion zu blockieren. ZIA setzt Sicherheitsrichtlinien in Echtzeit durch, ohne dass Hardware vor Ort erforderlich ist. Es gewährleistet einen sicheren und konformen Internetzugang für Benutzer überall. CloudWatch Pipelines ermöglicht es Ihnen, diese Daten in CloudWatch Protokollen zu sammeln.

Anweisungen zur Einrichtung von Amazon S3 und Amazon SQS

Die Konfiguration von ZIA für das Senden von Protokollen an einen Amazon S3 S3-Bucket umfasst mehrere Schritte, die sich hauptsächlich auf die Einrichtung des Amazon S3 S3-Buckets, der Amazon SQS SQS-Warteschlange, der IAM-Rollen und die anschließende Konfiguration der Amazon Telemetrie-Pipeline konzentrieren.

  • Erstellen Sie einen Amazon S3 S3-Bucket, der ZIA-Protokolle speichert, und erstellen Sie separate Ordner für jeden Protokolltyp. Erstellen Sie einen IAM-Benutzer und gewähren Sie s3-Schreibberechtigung, Konsolenzugriff ist nicht erforderlich, nur CLI, und erstellen Sie den Zugriffsschlüssel und den geheimen Schlüssel für dieses Konto.

  • Konfigurieren Sie NSS-Feeds mit Amazon S3 S3-Bucket-Details, um Protokolle zu übertragen.

  • Konfigurieren Sie den Amazon S3 S3-Bucket so, dass er Ereignisbenachrichtigungen erstellt, insbesondere für „Object Create“ -Ereignisse. Diese Benachrichtigungen sollten an eine Amazon SQS SQS-Warteschlange gesendet werden.

  • Erstellen Sie eine Amazon SQS SQS-Warteschlange in derselben AWS Region wie Ihr Amazon S3 S3-Bucket. Diese Warteschlange erhält Benachrichtigungen, wenn dem Amazon S3 S3-Bucket neue Protokolldateien hinzugefügt werden.

Konfiguration der CloudWatch Pipeline

Wenn Sie die Pipeline so konfigurieren, dass sie Daten aus Zscaler Internet Access liest, wählen Sie Zscaler Internet Access (ZIA) als Datenquelle. Nachdem Sie die erforderlichen Informationen eingegeben und die Pipeline erstellt haben, sind die Daten in der ausgewählten CloudWatch Protokollgruppe Logs verfügbar.

Unterstützte Open Cybersecurity Schema Framework-Eventklassen

Diese Integration unterstützt die OCSF-Schemaversion v1.5.0 und Ereignisse, die DNS-Aktivität (4003), HTTP-Aktivität (4002), Netzwerkaktivität (4001) und Authentifizierung (3002) zugeordnet sind. Jedes Ereignis stammt aus einer Quelle, wie unten erwähnt.

Die DNS-Aktivität deckt alle Ereignisse aus der Quelle ab:

  • DNS-Protokolle

Die HTTP-Aktivität deckt alle Ereignisse aus der Quelle ab:

  • Web-Protokolle

Netzwerkaktivität deckt alle Ereignisse aus der Quelle ab:

  • Firewall-Protokolle

Die Authentifizierung deckt Ereignisse aus der Quelle ab:

  • Administrator-Auditprotokolle — Ereignisaktionen: SIGN_IN, SIGN_OUT