Zscaler Internet Access のソース設定 - Amazon CloudWatch
Zscaler Internet Access との統合Amazon S3 と Amazon SQS を設定する手順CloudWatch パイプラインの設定サポートされているオープンサイバーセキュリティスキーマフレームワークイベントクラス

Zscaler Internet Access のソース設定

Zscaler Internet Access との統合

Zscaler Internet Access (ZIA) は、インターネットに接続するユーザーを保護するクラウドベースのセキュアなウェブゲートウェイです。高度な脅威検出と SSL 検査を使用して、すべてのインターネットトラフィックを検査し、マルウェア、フィッシング、およびデータ漏洩をブロックします。ZIA は、オンプレミスのハードウェアがなくても、セキュリティポリシーをリアルタイムに適用します。これにより、ユーザーはどこにいても安全でコンプライアンスに準拠したインターネットアクセスを確保できます。CloudWatch パイプラインを使用すると、このデータを CloudWatch Logs で収集できます。

Amazon S3 と Amazon SQS を設定する手順

Amazon S3 バケットにログを送信するように ZIA を設定するには、いくつかの手順が必要です。主要なものは Amazon S3 バケット、Amazon SQS キュー、IAM ロールの設定と、その後の Amazon Telemetry パイプラインの設定です。

  • ZIA ログを保存する Amazon S3 バケットを作成します。次に、ログタイプごとに別個のフォルダを作成します。IAM ユーザーを作成し、S3 の書き込み権限を付与します。コンソールアクセスは必要なく、CLI のみを許可します。このアカウントのアクセスキーとシークレットキーを作成します。

  • Amazon S3 バケットの詳細を使用して NSS フィードを設定し、ログをプッシュします。

  • イベント通知、特に「オブジェクトの作成」イベントの通知を作成するように Amazon S3 バケットを設定します。これらの通知は Amazon SQS キューに送信する必要があります。

  • Amazon SQS キューを Amazon S3 バケットと同じ AWS リージョンに作成します。このキューは、新しいログファイルが Amazon S3 バケットに追加されると通知を受け取ります。

CloudWatch パイプラインの設定

Zscaler Internet Access からデータを読み込むようにパイプラインを設定するときは、データソースとして Zscaler Internet Access (ZIA) を選択します。必要な情報を入力してパイプラインを作成すると、選択した CloudWatch Logs ロググループでデータを使用できます。

サポートされているオープンサイバーセキュリティスキーマフレームワークイベントクラス

この統合では、OCSF スキーマのバージョン v1.5.0 と、DNS アクティビティ (4003)、HTTP アクティビティ (4002)、ネットワークアクティビティ (4001)、および認証 (3002) にマッピングするイベントがサポートされています。各イベントに対応するソースを以下に示します。

DNS アクティビティ は、ソースからのすべてのイベントをカバーします。

  • DNS ログ

HTTP アクティビティ は、ソースからのすべてのイベントをカバーします。

  • ウェブログ

ネットワークアクティビティ は、ソースからのすべてのイベントをカバーします。

  • ファイアウォールログ

認証は、ソースからのイベントをカバーします。

  • 管理者監査ログ – イベントアクション: SIGN_IN、SIGN_OUT