Configuration de la source pour Zscaler Internet Access - Amazon CloudWatch
Intégration à Zscaler Internet AccessInstructions pour configurer Amazon S3 et Amazon SQSConfiguration du CloudWatch pipelineClasses d'événements du cadre de schéma de cybersécurité ouvert prises en charge

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de la source pour Zscaler Internet Access

Intégration à Zscaler Internet Access

Zscaler Internet Access (ZIA) est une passerelle Web sécurisée basée sur le cloud qui protège les utilisateurs qui se connectent à Internet. Il inspecte l'ensemble du trafic Internet pour bloquer les malwares, le phishing et les fuites de données grâce à une détection avancée des menaces et à une inspection SSL. ZIA applique les politiques de sécurité en temps réel sans nécessiter de matériel sur site. Il garantit un accès Internet sûr et conforme aux utilisateurs, où qu'ils se trouvent. CloudWatch pipelines vous permet de collecter ces données dans CloudWatch des journaux.

Instructions pour configurer Amazon S3 et Amazon SQS

La configuration de ZIA pour envoyer des journaux vers un compartiment Amazon S3 implique plusieurs étapes, principalement axées sur la configuration du compartiment Amazon S3, de la file d'attente Amazon SQS, des rôles IAM, puis sur la configuration du pipeline de télémétrie Amazon.

  • Créez un compartiment Amazon S3 qui stocke les journaux ZIA et créez des dossiers distincts pour chaque type de journal. Créez un utilisateur IAM et accordez l'autorisation d'écriture à s3, l'accès à la console n'est pas nécessaire, seule la CLI et créez une clé d'accès et une clé secrète pour ce compte.

  • Configurez les flux NSS avec les détails du compartiment Amazon S3 pour envoyer des journaux.

  • Configurez le compartiment Amazon S3 pour créer des notifications d'événements, en particulier pour les événements « Object Create ». Ces notifications doivent être envoyées à une file d'attente Amazon SQS.

  • Créez une file d'attente Amazon SQS dans la même AWS région que votre compartiment Amazon S3. Cette file d'attente recevra des notifications lorsque de nouveaux fichiers journaux seront ajoutés au compartiment Amazon S3.

Configuration du CloudWatch pipeline

Lorsque vous configurez le pipeline pour lire les données depuis Zscaler Internet Access, choisissez Zscaler Internet Access (ZIA) comme source de données. Après avoir renseigné les informations requises et créé le pipeline, les données seront disponibles dans le groupe de CloudWatch journaux Logs sélectionné.

Classes d'événements du cadre de schéma de cybersécurité ouvert prises en charge

Cette intégration prend en charge la version v1.5.0 du schéma OCSF et les événements correspondant à l'activité DNS (4003), à l'activité HTTP (4002), à l'activité réseau (4001) et à l'authentification (3002). Chaque événement provient d'une source telle que mentionnée ci-dessous.

L'activité DNS couvre tous les événements depuis la source :

  • Journaux DNS

L'activité HTTP couvre tous les événements depuis la source :

  • Journaux Web

L'activité réseau couvre tous les événements depuis leur source :

  • Journaux du pare-feu

L'authentification couvre les événements provenant de la source :

  • Journaux d'audit de l'administrateur - Actions liées aux événements : SIGN_IN, SIGN_OUT