Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Accès Internet Zscaler
<a name="zscaler-zia-setup"></a>

CloudWatch pipelines vous permet de collecter des journaux à partir de Zscaler Internet Access (ZIA). ZIA est une passerelle Web sécurisée basée sur le cloud qui protège les utilisateurs qui se connectent à Internet.

**Topics**
+ [Configuration de la source pour Zscaler Internet Access](zscaler-zia-source-setup.md)
+ [Configuration du pipeline pour Zscaler Internet Access](zscaler-zia-pipeline-setup.md)

# Configuration de la source pour Zscaler Internet Access
<a name="zscaler-zia-source-setup"></a>

## Intégration à Zscaler Internet Access
<a name="zscaler-zia-integration"></a>

Zscaler Internet Access (ZIA) est une passerelle Web sécurisée basée sur le cloud qui protège les utilisateurs qui se connectent à Internet. Il inspecte l'ensemble du trafic Internet pour bloquer les malwares, le phishing et les fuites de données grâce à une détection avancée des menaces et à une inspection SSL. ZIA applique les politiques de sécurité en temps réel sans nécessiter de matériel sur site. Il garantit un accès Internet sûr et conforme aux utilisateurs, où qu'ils se trouvent. CloudWatch pipelines vous permet de collecter ces données dans CloudWatch des journaux.

## Instructions pour configurer Amazon S3 et Amazon SQS
<a name="zscaler-zia-s3-sqs-setup"></a>

La configuration de ZIA pour envoyer des journaux vers un compartiment Amazon S3 implique plusieurs étapes, principalement axées sur la configuration du compartiment Amazon S3, de la file d'attente Amazon SQS, des rôles IAM, puis sur la configuration du pipeline de télémétrie Amazon.
+ Créez un compartiment Amazon S3 qui stocke les journaux ZIA et créez des dossiers distincts pour chaque type de journal. Créez un utilisateur IAM et accordez l'autorisation d'écriture à s3, l'accès à la console n'est pas nécessaire, seule la CLI et créez une clé d'accès et une clé secrète pour ce compte.
+ Configurez les flux NSS avec les détails du compartiment Amazon S3 pour envoyer des journaux.
+ Configurez le compartiment Amazon S3 pour créer des notifications d'événements, en particulier pour les événements « Object Create ». Ces notifications doivent être envoyées à une file d'attente Amazon SQS.
+ Créez une file d'attente Amazon SQS dans la même AWS région que votre compartiment Amazon S3. Cette file d'attente recevra des notifications lorsque de nouveaux fichiers journaux seront ajoutés au compartiment Amazon S3.

## Configuration du CloudWatch pipeline
<a name="zscaler-zia-pipeline-config"></a>

Lorsque vous configurez le pipeline pour lire les données depuis Zscaler Internet Access, choisissez Zscaler Internet Access (ZIA) comme source de données. Après avoir renseigné les informations requises et créé le pipeline, les données seront disponibles dans le groupe de CloudWatch journaux Logs sélectionné.

## Classes d'événements du cadre de schéma de cybersécurité ouvert prises en charge
<a name="zscaler-zia-ocsf-events"></a>

Cette intégration prend en charge la version v1.5.0 du schéma OCSF et les événements correspondant à l'activité DNS (4003), à l'activité HTTP (4002), à l'activité réseau (4001) et à l'authentification (3002). Chaque événement provient d'une source telle que mentionnée ci-dessous.

**L'activité DNS** couvre tous les événements depuis la source :
+ Journaux DNS

**L'activité HTTP** couvre tous les événements depuis la source :
+ Journaux Web

**L'activité réseau** couvre tous les événements depuis leur source :
+ Journaux du pare-feu

**L'authentification** couvre les événements provenant de la source :
+ Journaux d'audit de l'administrateur - Actions liées aux événements : SIGN\$1IN, SIGN\$1OUT

# Configuration du pipeline pour Zscaler Internet Access
<a name="zscaler-zia-pipeline-setup"></a>

La configuration de Zscaler AWS lit les données du journal depuis les compartiments Amazon S3 à l'aide des notifications Amazon SQS pour les nouveaux événements liés aux objets.

Configurez la source Zscalar à l'aide des paramètres suivants :

```
source:
  s3:
    aws:
      region: "us-east-1"
      sts_role_arn: "arn:aws:iam::<account>:role/<role-name>"
    compression: "gzip"
    codec:
      ndjson:
    data_source_name: "zscaler_internetaccess"
    default_bucket_owner: "123456789012"
    bucket_owners:
      my-bucket: "123456789012"
    disable_bucket_ownership_validation: false
    notification_type: "sqs"
    sqs:
      queue_url: "https://sqs.region.amazonaws.com/<account>/<queue-name>"
    on_error: "retain_messages"
```Parameters

`notification_type` (obligatoire)  
Spécifie le mécanisme de notification. La valeur doit être « sqs » pour utiliser SQS pour les notifications d'événements S3.

`data_source_name` (obligatoire)  
Identifie la source de données. Il peut s'agir de n'importe quelle valeur de chaîne représentant votre source de données. Exemple : « zscaler\$1internetaccess ».

`aws.region` (obligatoire)  
 AWS Région dans laquelle se trouvent le compartiment S3 et la file d'attente SQS.

`aws.sts_role_arn` (obligatoire)  
L'ARN du rôle IAM à assumer pour accéder aux ressources S3 et SQS.

`codec` (obligatoire)  
Configuration du codec pour l'analyse des objets S3. Supporte les codecs csv, json et ndjson.

`compression` (facultatif)  
Type de compression des objets S3. Les valeurs valides sont « none », « gzip », « automatic ». La valeur par défaut est « none ».

`sqs.queue_url`(obligatoire pour SQS)  
URL complète de la file d'attente SQS qui reçoit les notifications du compartiment S3 lorsque de nouveaux objets sont créés.

`on_error` (facultatif)  
Détermine comment gérer les erreurs dans Amazon SQS. Il peut s'agir de retain\$1messages ou de delete\$1messages. La valeur par défaut est retain\$1messages.