zScaler NSS

zScaler是一种软件即服务(SaaS)web代理,具有“本地”NSS组件,可从云中检索日志并将其拉入本地网络,供日志聚合器(如InsightIDR Collector)使用。

除了源地址之外,Zscaler NSS产品日志还可以包含有关主机和帐户的信息。将Zscaler NSS设置为事件源时,您将有能力指定归因选项.

要设置zscaler nss,您需要:

  1. 审查“在你开始之前”并注意任何要求,
  2. 配置zScaler NSS以将数据发送到收集器,
  3. 在Insutigridr中设置zscaler nss事件源,
  4. 验证配置是否有效.

在你开始之前

您必须为收集器准备zScaler NSS。

你可以在这里找到更多关于如何配置zScaler NSS的信息:https://help.zscaler.com/zia/documentation-knowledgebase/analytics/nss/nss-deployment-guides.

InsightIDR仅支持QRadar LEEF和CEF格式

虽然zScaler NSS支持多种日志格式,InsightIDR目前只有QRadar LEEF(日志事件扩展格式)和CEF(常见事件格式)的解析器,你可以在这里阅读:https://help.zscaler.com/zia/nss-configuration-example-qradar#subc-加.

配置zScaler NSS以将数据发送到收集器

zScaler日志必须以某种格式到达,以便InsightIDR正确地解析它们。配置日志转发使用LEEF格式:

          

           文本

            
           

          

           

            

             1.

            % s {mon} % 2 d {dd} % 2 d {hh}: % 2 d {mm}: % 2 d{党卫军}zscaler-nss:LEEF:1.0|Zscaler|NSS|4.1|%s{reason}|cat=%s{action}\tdevTime=%s{mon} %02d{dd} %d{yy} %02d{hh}:%02d{mm}:%02d{ss} America/Chicago\tdevTimeFormat=MMM dd yyyy hh:mm:ss . LEEF:1.0|Zscaler|NSS|4.1|%s{reason}|cat=%s{action}\tdevTime=%s{mon} %02d{dd} %d{yy} %d{hh}:%02d{ssz \ tsrc = % s {cip} \ tdst = % s {sip} \ tsrcPostNAT = % s {cintip} \ trealm = % s{位置}\ tusrName = % s{登录}\ tsrcBytes = % d {reqsize} \ tdstBytes = % d {respsize} \ trole = % s{部门}\ tpolicy = % s{原因}\ turl = % s {url} \ d {recordid} \ tbwthrottle trecordid = % = % s {bwthrottle} \ tuseragent = % s {ua} \ treferer = % s{推荐人}\ thostname = % s{主机}\ tappproto = % s{原型}\ turlcategory = % s {urlcat} \ turlsupercategory = % s {urlsupercat} \ turlclass = % s {urlclass} \ tappclass = % s {appclass} \ tappname = % s{浏览器名称}\ tmalwaretype = % s {malwarecat} \ tmalwareclass = % s {malwareclass} \ tthreatname = % s {threatname} \ triskscore = % d {riskscore} \ tdlpdict = % s {dlpdict} \ tdlpeng = % s {dlpeng} \ tfileclass = % s {fileclass} \ tfiletype = % s {filetype} \ treqmethod = % s {reqmethod} \ trespcode = % s {respcode}

在InsightIDR中设置zScaler NSS

  1. 从仪表板中选择数据收集在左手菜单上。
  2. 当出现“数据采集”页面时,单击设置事件源下拉点和选择添加事件源.
  3. 从“安全数据”部分,单击网络代理偶像此时会出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。
  5. 可选择选择发送未过滤原木.
  6. 选择时区与事件源日志的位置匹配的。
  7. 选择一个归因来源.
  8. 选择一个收集方法并指定端口和协议。
    • 可选择选择加密通过下载选择TCP的事件源rapt7证书.
  9. 点击保存.

归因源选择

ZScaler NSS产品日志可以包含有关主机和帐户的信息。将ZScaler NSS设置为事件源时,您将能够指定以下属性选项:

  1. 如果可能,使用IDR发动机;如果没有,请使用事件日志

通过选择此选项,InsightIDR属性引擎将使用日志行中的源地址执行属性。如果无法使用源地址解析资产或帐户,则将使用日志行中的资产或帐户(如果有)。

  1. 如果可能,使用事件日志;如果不是,请使用IDR发动机

通过选择此选项,将使用日志行中存在的资产和帐户来完成归因。如果在Log行中没有存在资产或帐户,则InsightIdr属性引擎将使用日志行中存在的源地址执行归属。

  1. 仅使用IDR引擎

通过选择此选项,InsightIdr属性引擎将使用日志行中存在的源地址来执行属性,忽略日志行中存在的任何资产和帐户。

  1. 仅使用事件日志

通过选择此选项,将使用日志行中的资产和帐户来完成归属,而忽略源地址。

验证配置

完成以下步骤以查看您的日志,并确保事件将其交给收集器:

  1. 单击InsightIdr的左侧菜单中的数据集合并导航到“事件源”选项卡。查找刚刚创建的新事件源,然后单击查看原始日志按钮。如果您在框中看到日志消息,那么这表明日志正在流向收集器。
  2. 点击日志搜索在InsightIDR的左侧菜单中。
  3. 选择适用的日志集以及其中的日志名。日志名称将是您为事件源指定的名称。当从Web代理事件生成日志时,Zscaler日志流入Web代理活动日志集。

日志至少需要7分钟才能出现在日志搜索中

请注意,设置事件源后,日志至少需要7分钟才能出现在日志搜索中。如果您在事件源上选择“查看原始日志”时看到了日志消息,但等待几分钟后在“日志搜索”中没有看到任何日志消息,那么您的日志不符合该事件源的推荐格式和类型。