Integrar com o Zscaler Internet Access Instruções para configurar o Amazon S3 e o Amazon SQS Configurar o CloudWatch Pipeline Classes de eventos do Open Cybersecurity Schema Framework compatíveis

Configuração de fonte para o Zscaler Internet Access

Integrar com o Zscaler Internet Access

Zscaler Internet Access (ZIA) é um gateway da Web seguro baseado na nuvem que protege os usuários que se conectam à Internet. Ele inspeciona todo o tráfego da Internet para bloquear malware, phishing e vazamentos de dados usando detecção de ameaças e inspeção SSL avançadas. O ZIA aplica políticas de segurança em tempo real sem necessidade de hardware on-premises. Ele garante acesso à Internet seguro e conforme a usuários em qualquer lugar. Os pipelines do CloudWatch permitem coletar esses dados no CloudWatch Logs.

Instruções para configurar o Amazon S3 e o Amazon SQS

A configuração do ZIA para enviar logs para um bucket do Amazon S3 envolve várias etapas, concentradas principalmente na configuração do bucket do Amazon S3, na fila do Amazon SQS, nos perfis do IAM e depois na configuração do Amazon Telemetry Pipeline.

Crie um bucket do Amazon S3 para armazenar os logs do ZIA e crie pastas separadas para cada tipo de log. Crie um usuário do IAM e conceda permissão de gravação no S3; Não é necessário acesso ao console, apenas à CLI, e crie a chave de acesso e a chave de acesso para essa conta.
Configure feeds do NSS com detalhes sobre o bucket do Amazon S3 para o qual enviar os logs por push.
Configure o bucket do Amazon S3 no qual criar notificações de eventos, especificamente para eventos de “Criação de objeto”. Essas notificações devem ser enviadas para uma fila do Amazon SQS.
Crie uma fila do Amazon SQS na mesma região da AWS do bucket do Amazon S3. Essa fila receberá notificações quando novos arquivos de log forem adicionados ao bucket do Amazon S3.

Configurar o CloudWatch Pipeline

Ao configurar o pipeline para ler dados do Zscaler Internet Access, escolha o Zscaler Internet Access (ZIA) como a fonte de dados. Depois de preenchidas as informações necessárias e criado o pipeline, os dados estarão disponíveis no grupo de logs do CloudWatch Logs selecionado.

Classes de eventos do Open Cybersecurity Schema Framework compatíveis

Essa integração é compatível com o esquema OCSF versão v1.5.0 e eventos que são mapeados DNS Activity (4003), HTTP Activity (4002), Network Activity (4001) e Authentication (3002). Cada evento vem de uma fonte, conforme mencionado abaixo.

DNS Activity inclui todos os eventos da fonte:

Logs do DNS

HTTP Activity inclui todos os eventos da fonte:

Logs da Web

Network Activity inclui todos os eventos da fonte:

Logs do Firewall

Authentication inclui os eventos da fonte:

Logs de auditoria do administrador: ações de evento: SIGN_IN, SIGN_OUT

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Zscaler Internet Access

Configuração do pipeline