zScaler NSS
zScaler是一个软件即服务(SaaS) web代理,它有一个“本地”的NSS组件,可以从云中检索日志,并将它们拉入本地网络,用于日志聚合器,如InsightIDR Collector。
ZScaler NSS产品日志除了源地址外,还可以包含主机和帐户信息。当将ZScaler NSS设置为事件源时,您将能够指定属性选项.
要设置zScaler NSS,你需要:
- 审查“在你开始之前”记下任何要求,
- 配置zScaler NSS发送数据到您的收集器,
- 在InsightIDR中设置zScaler NSS事件源, 和
- 验证配置工作.
在你开始之前
您必须为收藏家准备Zscaler NSS。
您可以找到有关如何在此处配置Zscaler NSS的其他信息:https://help.zscaler.com/zia/documentation-knowledgebase/analytics/nss/nss-deployment-guides.
InsightIDR仅支持QRadar LEEF和CEF格式
虽然Zscaler NSS支持多个日志格式,但InsightIdr目前仅具有QRadar Leef(日志事件扩展格式)和CEF(常见事件格式)的解析器,您可以在此处阅读,其中:https://help.zscaler.com/zia/nss-configuration-example-qradar#subc-Add.
配置zScaler NSS发送数据到您的收集器
Zscaler日志必须以某种格式到达,以便insightidr正确解析它们。配置日志转发以使用以下LEEF格式:
文本
1%s {mon}%02d {dd}%02d {hh}:%02d {mm}:%02d {ss} zscaler-nss:leef:1.0 | zscaler | nss | 4.1 |%s {原因} | cat =%s {action} \ tdevTime =%s {mon}%02d {dd}%d {yy}%02d {hh}:%02d {mm}:%02d {ss} seriomer / chicago \ tdevtimeformat = mmm dd yyyy hh:mm:ss z \ tsrc =%s {cip} \ tdst =%s {sip} \ tsrcpostnat =%s {cintip} \ trealm =%s {location} \ tusrname =%s {login} \ tsrcbytes =%d {reqsize} \ tdstbytes =%d {respsize} \ trole =%s {dept} {dept} \ tpolicy =%s {原因} \ turl =%s {url} \ trecordid =%d {recordid} \ tbwthrottle =%s {bwthrottle}\ tuseragent =%s {ua} \ treferer =%s {referer} \ thostname =%s {host} \ tappproto =%s {proto} \ turlcategory =%s {urlcat} \ turlsupercategory =%s {urlsupercat} \ turlclass=%s {urlclass} \ tappclass =%s {appclass} \ tappname =%s {appname} \ tmalwaretype =%s {malwarecat} \ tmalwareclass =%s {malwareclass} \ tthreatname =%s {threatname} \ triskscore =%d {riskscore} \ tdlpdict =%s {dlpdict} \ tdlpeng =%s {dlpeng} \ tfileclass =%s {fileclass} \ tfiletype =%s {filetype} \ treqmethod =%s {reqmethod} \ trespcode =%s {respcode}
在Insutigridr中设置Zscaler NSS
- 从仪表板中选择数据收集在左边的菜单上。
- 出现“数据收集”页面时,单击“设置事件源下拉选择添加事件源码.
- 从“安全数据”部分,单击Web代理图标。出现“添加事件源”面板。
- 选择收集器和事件源。如果需要,您还可以命名您的活动源。
- 选择发送未经过滤的日志.
- 选择时区与事件源日志的位置匹配。
- 选择一个归因源.
- 选择一个收集的方法并指定端口和协议。
- 可选的选择加密事件源,如果通过下载Rapid7证书.
- 点击节省.
归因源选项
ZScaler NSS产品日志包括主机和帐号信息。当设置ZScaler NSS作为事件源时,你将有能力指定以下属性选项:
- 如果可能,使用IDR引擎;如果没有,使用事件日志
通过选择该选项,InsightIDR属性引擎将使用日志行中显示的源地址执行属性。如果无法使用源地址解析资产或账户,则将使用日志行中存在的资产或账户(如果有的话)。
- 如果可能,使用事件日志;如果没有,请使用IDR引擎
通过选择此选项,属性将使用日志行中显示的资产和帐户完成。如果日志行中没有资产或帐户,InsightIDR属性引擎将使用日志行中存在的源地址执行属性。
- 仅使用IDR引擎
通过选择此选项,InsightIDR属性引擎将使用日志行中显示的源地址执行属性,而忽略日志行中显示的任何资产和帐户。
- 只使用事件日志
通过选择这个选项,属性将使用日志行中显示的资产和帐户来完成,而忽略源地址。
验证配置
完成以下步骤来查看日志,并确保事件正在进入收集器:
- 单击InsightIDR左侧菜单中的“Data Collection”,导航到“Event Sources”页签。找到刚刚创建的新事件源并单击查看原始日志按钮。如果在框中看到日志消息,则显示日志正在流到收集器。
- 点击日志搜索在InsightIDR的左侧菜单中。
- 选择适用的日志集和其中的日志名称。日志名称将是您给事件源的名称。Zscaler日志会流入Web代理事件产生日志时设置的Web代理活动日志。
日志至少需要7分钟才能出现在“日志搜索”中
请注意,在设置事件源后,日志需要至少7分钟才能出现在日志搜索中。如果在等待几分钟后选择查看事件源时查看原始日志的日志消息,但在日志搜索中看到日志搜索后,请查看几分钟后,您的日志与此事件的建议格式和类型不匹配来源。