# Zscaler Internet Access 的来源配置
<a name="zscaler-zia-source-setup"></a>

## 与 Zscaler Internet Access 集成
<a name="zscaler-zia-integration"></a>

Zscaler Internet Access（ZIA）是一个基于云的安全 Web 网关，可保护连接至互联网的用户。该网关使用高级威胁检测和 SSL 检查来检查所有互联网流量，以阻止恶意软件、网络钓鱼和数据泄露。ZIA 无需本地硬件即可实时执行安全策略，并可确保用户在任何地方都能安全合规地访问互联网。CloudWatch 管道支持将这类数据收集到 CloudWatch Logs 中。

## Amazon S3 与 Amazon SQS 设置说明
<a name="zscaler-zia-s3-sqs-setup"></a>

将 ZIA 配置为向 Amazon S3 存储桶发送日志，需执行多个步骤，核心为搭建 Amazon S3 存储桶、配置 Amazon SQS 队列、创建 IAM 角色，再配置 Amazon Telemetry Pipeline。
+ 创建用于存储 ZIA 日志的 Amazon S3 存储桶，并为每种日志类型创建单独的文件夹。创建 IAM 用户并授予 s3 写入权限，无需控制台访问权限，仅需 CLI，并为此账户创建访问密钥和私密密钥。
+ 使用 Amazon S3 存储桶详细信息配置 NSS 订阅源以推送日志。
+ 为该 Amazon S3 存储桶配置事件通知，需专门针对“对象创建”事件进行设置。这些通知需发送到 Amazon SQS 队列。
+ Amazon SQS 队列必须与您的 Amazon S3 存储桶位于同一 AWS 区域。此队列将在新的日志文件添加到 Amazon S3 存储桶时收到通知。

## 配置 CloudWatch 管道
<a name="zscaler-zia-pipeline-config"></a>

将管道配置为从 Zscaler Internet Access 中读取数据时，请选择 Zscaler Internet Access（ZIA）作为数据来源。填写必填信息并创建管道后，所选的 CloudWatch Logs 日志组中将显示数据。

## 支持的开放式网络安全架构框架事件类
<a name="zscaler-zia-ocsf-events"></a>

此集成支持 OCSF 架构版本 1.5.0 以及映射到“DNS 活动”（4003）、“HTTP 活动”（4002）、“网络活动”（4001）和“身份验证”（3002）的事件。每个事件都来自如下所述的某个来源。

**DNS 活动**涵盖来自以下来源的所有事件：
+ DNS 日志

**HTTP 活动**涵盖来自以下来源的所有事件：
+ Web 日志

**网络活动**涵盖来自以下来源的所有事件：
+ 防火墙日志

**身份验证**涵盖来自以下来源的事件：
+ 管理员审计日志 – 事件操作：SIGN\$1IN、SIGN\$1OUT