Integración con Zscaler Internet Access Instrucciones para configurar Amazon S3 y Amazon SQS Configuración de la canalización de CloudWatch Clases de eventos del Marco de esquema de ciberseguridad abierto compatibles

Configuración de orígenes para Zscaler Internet Access

Integración con Zscaler Internet Access

Zscaler Internet Access (ZIA) es una puerta de enlace web segura basada en la nube que protege a los usuarios que se conectan a Internet. Inspecciona todo el tráfico de Internet para bloquear el malware, la suplantación de identidad y las filtraciones de datos mediante la detección de amenazas avanzada y la inspección de SSL. ZIA aplica políticas de seguridad en tiempo real sin necesidad de hardware en las instalaciones. Garantiza un acceso a Internet seguro y conforme para usuarios de cualquier lugar del mundo. Las canalizaciones de CloudWatch le permiten recopilar estos datos en Registros de CloudWatch.

Instrucciones para configurar Amazon S3 y Amazon SQS

La configuración de ZIA para enviar registros a un bucket de Amazon S3 implica varios pasos, que se centran principalmente en configurar el bucket de Amazon S3, la cola de Amazon SQS y los roles de IAM y, a continuación, configurar la canalización de telemetría de Amazon.

Cree un bucket de Amazon S3 que almacene los registros de ZIA y cree carpetas independientes para cada tipo de registro. Cree un usuario de IAM, otorgue a S3 permisos de escritura (no es necesario acceder a la consola, solo a la CLI) y cree la clave de acceso y la clave de secreto para esta cuenta.
Configure las fuentes NSS con los detalles del bucket de Amazon S3 para enviar registros.
Configure el bucket de Amazon S3 para crear notificaciones de eventos, específicamente para los eventos de creación de objetos. Estas notificaciones deben enviarse a una cola de Amazon SQS.
Cree una cola de Amazon SQS en la misma región de AWS que el bucket de Amazon S3. Esta cola recibirá notificaciones cada vez que se agreguen nuevos archivos de registros al bucket de Amazon S3.

Configuración de la canalización de CloudWatch

Al configurar la canalización para leer datos de Zscaler Internet Access, elija Zscaler Internet Access (ZIA) como origen de datos. Después de rellenar la información obligatoria y crear la canalización, los datos estarán disponibles en el grupo de registro de Registros de CloudWatch.

Clases de eventos del Marco de esquema de ciberseguridad abierto compatibles

Esta integración es compatible con la versión 1.5.0 del esquema OCSF y los eventos que se asignan a la actividad de DNS (4003), la actividad HTTP (4002), la actividad de red (4001) y la autenticación (3002). Cada evento proviene de un origen, como se menciona a continuación.

La actividad de DNS abarca todos los eventos del origen:

Registros de DNS

La actividad HTTP abarca todos los eventos del origen:

Registros web

La actividad de red abarca todos los eventos del origen:

Registros de firewall

La autenticación abarca los eventos del origen:

Registros de auditoría de administración (acciones de eventos): SIGN_IN, SIGN_OUT

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Zscaler Internet Access

Configuración de canalización