Configurazione del codice sorgente per Zscaler Internet Access - Amazon CloudWatch
Integrazione con Zscaler Internet AccessIstruzioni per configurare Amazon S3 e Amazon SQSConfigurazione della pipeline CloudWatchClassi di eventi Open Cybersecurity Schema Framework supportate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione del codice sorgente per Zscaler Internet Access

Integrazione con Zscaler Internet Access

Zscaler Internet Access (ZIA) è un gateway web sicuro basato sul cloud che protegge gli utenti che si connettono a Internet. Ispeziona tutto il traffico Internet per bloccare malware, phishing e fughe di dati utilizzando il rilevamento avanzato delle minacce e l'ispezione SSL. ZIA applica le politiche di sicurezza in tempo reale senza richiedere hardware locale. Garantisce un accesso a Internet sicuro e conforme per gli utenti ovunque. CloudWatch pipelines consente di raccogliere questi dati in Logs. CloudWatch

Istruzioni per configurare Amazon S3 e Amazon SQS

La configurazione di ZIA per l'invio di log a un bucket Amazon S3 prevede diversi passaggi, incentrati principalmente sulla configurazione del bucket Amazon S3, della coda Amazon SQS, dei ruoli IAM e quindi sulla configurazione di Amazon Telemetry Pipeline.

  • Crea un bucket Amazon S3 che archivia i log ZIA e crea cartelle separate per ogni tipo di registro. Crea un utente IAM e concedi l'autorizzazione di scrittura a s3, l'accesso alla console non necessario solo la CLI e crea la chiave di accesso e la chiave segreta per questo account.

  • Configura i feed NSS con i dettagli del bucket Amazon S3 per inviare i log.

  • Configura il bucket Amazon S3 per creare notifiche di eventi, in particolare per gli eventi «Object Create». Queste notifiche devono essere inviate a una coda Amazon SQS.

  • Crea una coda Amazon SQS nella stessa AWS regione del tuo bucket Amazon S3. Questa coda riceverà notifiche quando vengono aggiunti nuovi file di log al bucket Amazon S3.

Configurazione della pipeline CloudWatch

Quando configuri la pipeline per leggere i dati da Zscaler Internet Access, scegli Zscaler Internet Access (ZIA) come origine dati. Dopo aver inserito le informazioni richieste e aver creato la pipeline, i dati saranno disponibili nel gruppo di log Logs selezionato. CloudWatch

Classi di eventi Open Cybersecurity Schema Framework supportate

Questa integrazione supporta la versione dello schema OCSF v1.5.0 e gli eventi mappati all'attività DNS (4003), all'attività HTTP (4002), all'attività di rete (4001) e all'autenticazione (3002). Ogni evento proviene da una fonte come indicato di seguito.

L'attività DNS copre tutti gli eventi dalla fonte:

  • Registri DNS

L'attività HTTP copre tutti gli eventi dalla fonte:

  • Registri Web

L'attività di rete copre tutti gli eventi dalla fonte:

  • Registri del firewall

L'autenticazione copre gli eventi dalla fonte:

  • Registri di controllo amministrativi - Azioni relative agli eventi: SIGN_IN, SIGN_OUT