与 Zscaler Internet Access 集成 Amazon S3 与 Amazon SQS 设置说明配置 CloudWatch 管道支持的开放式网络安全架构框架事件类

Zscaler Internet Access 的来源配置

与 Zscaler Internet Access 集成

Zscaler Internet Access（ZIA）是一个基于云的安全 Web 网关，可保护连接至互联网的用户。该网关使用高级威胁检测和 SSL 检查来检查所有互联网流量，以阻止恶意软件、网络钓鱼和数据泄露。ZIA 无需本地硬件即可实时执行安全策略，并可确保用户在任何地方都能安全合规地访问互联网。CloudWatch 管道支持将这类数据收集到 CloudWatch Logs 中。

Amazon S3 与 Amazon SQS 设置说明

将 ZIA 配置为向 Amazon S3 存储桶发送日志，需执行多个步骤，核心为搭建 Amazon S3 存储桶、配置 Amazon SQS 队列、创建 IAM 角色，再配置 Amazon Telemetry Pipeline。

创建用于存储 ZIA 日志的 Amazon S3 存储桶，并为每种日志类型创建单独的文件夹。创建 IAM 用户并授予 s3 写入权限，无需控制台访问权限，仅需 CLI，并为此账户创建访问密钥和私密密钥。
使用 Amazon S3 存储桶详细信息配置 NSS 订阅源以推送日志。
为该 Amazon S3 存储桶配置事件通知，需专门针对“对象创建”事件进行设置。这些通知需发送到 Amazon SQS 队列。
Amazon SQS 队列必须与您的 Amazon S3 存储桶位于同一 AWS 区域。此队列将在新的日志文件添加到 Amazon S3 存储桶时收到通知。

配置 CloudWatch 管道

将管道配置为从 Zscaler Internet Access 中读取数据时，请选择 Zscaler Internet Access（ZIA）作为数据来源。填写必填信息并创建管道后，所选的 CloudWatch Logs 日志组中将显示数据。

支持的开放式网络安全架构框架事件类

此集成支持 OCSF 架构版本 1.5.0 以及映射到“DNS 活动”（4003）、“HTTP 活动”（4002）、“网络活动”（4001）和“身份验证”（3002）的事件。每个事件都来自如下所述的某个来源。

DNS 活动涵盖来自以下来源的所有事件：

DNS 日志

HTTP 活动涵盖来自以下来源的所有事件：

Web 日志

网络活动涵盖来自以下来源的所有事件：

防火墙日志

身份验证涵盖来自以下来源的事件：

管理员审计日志 – 事件操作：SIGN_IN、SIGN_OUT

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

Zscaler Internet Access

管道配置