Zscaler Internet Access와 통합 Amazon S3 및 Amazon SQS를 설정하기 위한 지침 CloudWatch 파이프라인 구성 지원되는 Open Cybersecurity Schema Framework 이벤트 클래스

Zscaler Internet Access를 위한 소스 구성

Zscaler Internet Access와 통합

Zscaler Internet Access(ZIA)는 인터넷에 연결하는 사용자를 보호하는 클라우드 기반 보안 웹 게이트웨이입니다. ZIA는 고급 위협 탐지 및 SSL 검사를 통해 모든 인터넷 트래픽을 검사하여 맬웨어, 피싱, 데이터 유출을 차단합니다. ZIA는 온프레미스 하드웨어 없이도 실시간으로 보안 정책을 적용합니다. 따라서 어디서든 사용자를 위한 안전하고 규정을 준수하는 인터넷 액세스를 보장합니다. CloudWatch 파이프라인을 사용하면 CloudWatch Logs에서 이러한 데이터를 수집할 수 있습니다.

Amazon S3 및 Amazon SQS를 설정하기 위한 지침

Amazon S3 버킷으로 로그를 전송하도록 ZIA를 구성하려면 Amazon S3 버킷, Amazon SQS 대기열, IAM 역할을 설정한 다음 Amazon Telemetry Pipeline을 구성하는 데 주로 중점을 둔 몇 가지 단계가 필요합니다.

ZIA 로그를 저장하는 Amazon S3 버킷을 생성한 후 각 로그 유형에 대해 별도의 폴더를 생성합니다. IAM 사용자를 생성한 후 s3 쓰기 권한을 부여합니다. 콘솔 액세스는 필요하지 않으며 CLI만 사용합니다. 그런 다음, 이 계정에 대한 액세스 키와 보안 암호 키를 생성합니다.
로그를 푸시하도록 Amazon S3 버킷 세부 정보로 NSS 피드를 구성합니다.
특히 '객체 생성' 이벤트에 대한 이벤트 알림을 생성하도록 Amazon S3 버킷을 구성합니다. 이러한 알림은 Amazon SQS 대기열로 전송해야 합니다.
Amazon S3 버킷과 동일한 AWS 리전에서 Amazon SQS 대기열을 생성합니다. 새 로그 파일이 Amazon S3 버킷에 추가되면 이 대기열에 알림이 수신됩니다.

CloudWatch 파이프라인 구성

Zscaler Internet Access에서 데이터를 읽도록 파이프라인을 구성할 경우 Zscaler Internet Access(ZIA)를 데이터 소스로 선택합니다. 필수 정보를 입력한 후 파이프라인을 생성하면 선택한 CloudWatch Logs 로그 그룹에서 데이터를 사용할 수 있습니다.

지원되는 Open Cybersecurity Schema Framework 이벤트 클래스

이 통합은 OCSF 스키마 버전 v1.5.0을 지원하고 DNS 활동(4003), HTTP 활동(4002), 네트워크 활동(4001), 인증(3002)에 매핑되는 이벤트를 지원합니다. 각 이벤트는 아래에 언급된 소스에서 발생합니다.

DNS 활동에서는 소스의 모든 이벤트를 다룹니다.

DNS 로그

HTTP 활동에서는 소스의 모든 이벤트를 다룹니다.

웹 로그

네트워크 활동에서는 소스의 모든 이벤트를 다룹니다.

방화벽 로그

인증에서는 소스의 이벤트를 다룹니다.

관리자 감사 로그 - 이벤트 작업: SIGN_IN, SIGN_OUT

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

Zscaler 인터넷 액세스

파이프라인 구성