與 Zscaler 網際網路存取整合設定 Amazon S3 和 Amazon SQS 的說明設定 CloudWatch 管道支援的開放式網路安全結構描述架構事件類別

Zscaler 網際網路存取的來源組態

與 Zscaler 網際網路存取整合

Zscaler Internet Access (ZIA) 是一種雲端型安全 Web 閘道，可保護連線至網際網路的使用者。它會檢查所有網際網路流量，以使用進階威脅偵測和 SSL 檢查來封鎖惡意軟體、網路釣魚和資料外洩。ZIA 會即時強制執行安全政策，而不需要內部部署硬體。它可為任何地方的使用者確保安全且合規的網際網路存取。CloudWatch 管道可讓您在 CloudWatch Logs 中收集此資料。

設定 Amazon S3 和 Amazon SQS 的說明

設定 ZIA 將日誌傳送至 Amazon S3 儲存貯體涉及數個步驟，主要著重於設定 Amazon S3 儲存貯體、Amazon SQS 佇列、IAM 角色，然後設定 Amazon Telemetry Pipeline。

建立存放 ZIA 日誌的 Amazon S3 儲存貯體，並為每個日誌類型建立個別資料夾。建立 IAM 使用者並授予 s3 寫入許可，主控台存取不僅需要 CLI，也不需要為此帳戶建立存取金鑰和私密金鑰。
使用 Amazon S3 儲存貯體詳細資訊設定 NSS 摘要以推送日誌。
設定 Amazon S3 儲存貯體以建立事件通知，特別是「物件建立」事件。這些通知應傳送至 Amazon SQS 佇列。
在與 Amazon S3 儲存貯體相同的區域中建立 Amazon SQS 佇列。 AWS Amazon S3 當新的日誌檔案新增至 Amazon S3 儲存貯體時，此佇列會收到通知。

設定 CloudWatch 管道

設定管道從 Zscaler 網路存取讀取資料時，請選擇 Zscaler 網路存取 (ZIA) 作為資料來源。填入必要資訊並建立管道後，資料將可在選取的 CloudWatch Logs 日誌群組中使用。

支援的開放式網路安全結構描述架構事件類別

此整合支援 OCSF 結構描述版本 v1.5.0 和對應至 DNS 活動 (4003)、HTTP 活動 (4002)、網路活動 (4001) 和身分驗證 (3002) 的事件。每個事件都來自來源，如下所述。

DNS 活動涵蓋來自來源的所有事件：

DNS 日誌

HTTP 活動涵蓋來自來源的所有事件：

Web 日誌

網路活動涵蓋來自來源的所有事件：

防火牆日誌

身分驗證涵蓋來自來源的事件：

管理員稽核日誌 - 事件動作：SIGN_IN、SIGN_OUT

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

Zscaler 網際網路存取

管道組態