zScaler NSS

zScaler是一个软件即服务(SaaS) web代理,它有一个“本地”的NSS组件,可以从云中检索日志,并将它们拉入本地网络,用于日志聚合器,如InsightIDR Collector。

ZScaler NSS产品日志除了源地址外,还可以包含主机和帐户信息。当将ZScaler NSS设置为事件源时,您将能够指定属性选项

要设置zScaler NSS,你需要:

  1. 审查“在你开始之前”记下任何要求,
  2. 配置zScaler NSS发送数据到您的收集器
  3. 在InsightIDR中设置zScaler NSS事件源,
  4. 验证配置是否有效

在你开始之前

您必须为收集器准备zScaler NSS。

你可以在这里找到更多关于如何配置zScaler NSS的信息:https://help.zscaler.com/zia/documentation-knowledgebase/analytics/nss/nss-deployment-guides

InsightIDR仅支持QRadar LEEF和CEF格式

虽然zScaler NSS支持多种日志格式,InsightIDR目前只有QRadar LEEF(日志事件扩展格式)和CEF(常见事件格式)的解析器,你可以在这里阅读:https://help.zscaler.com/zia/nss-configuration-example-qradar#subc-Add

配置zScaler NSS发送数据到您的收集器

zScaler日志必须以某种格式到达,以便InsightIDR正确地解析它们。配置日志转发使用LEEF格式:

          

           文本

            
           

          

           

            

             1

            % s {mon} % 2 d {dd} % 2 d {hh}: % 2 d {mm}: % 2 d{党卫军}zscaler-nss:LEEF:1.0|Zscaler|NSS|4.1|%s{reason}|cat=%s{action}\tdevTime=%s{mon} %02d{dd} %d{yy} %02d{hh}:%02d{mm}:%02d{ss} America/Chicago\tdevTimeFormat=MMM dd yyyy hh:mm:ss . LEEF:1.0|Zscaler|NSS|4.1|%s{reason}|cat=%s{action}\tdevTime=%s{mon} %02d{dd} %d{yy} %d{hh}:%02d{ssz \ tsrc = % s {cip} \ tdst = % s {sip} \ tsrcPostNAT = % s {cintip} \ trealm = % s{位置}\ tusrName = % s{登录}\ tsrcBytes = % d {reqsize} \ tdstBytes = % d {respsize} \ trole = % s{部门}\ tpolicy = % s{原因}\ turl = % s {url} \ d {recordid} \ tbwthrottle trecordid = % = % s {bwthrottle} \ tuseragent = % s {ua} \ treferer = % s{推荐人}\ thostname = % s{主机}\ tappproto = % s{原型}\ turlcategory = % s {urlcat} \ turlsupercategory = % s {urlsupercat} \ turlclass = % s {urlclass} \ tappclass = % s {appclass} \ tappname = % s{浏览器名称}\ tmalwaretype = % s {malwarecat} \ tmalwareclass = % s {malwareclass} \ tthreatname = % s {threatname} \ triskscore = % d {riskscore} \ tdlpdict = % s {dlpdict} \ tdlpeng = % s {dlpeng} \ tfileclass = % s {fileclass} \ tfiletype = % s {filetype} \ treqmethod = % s {reqmethod} \ trespcode = % s {respcode}

在InsightIDR中设置zScaler NSS

  1. 从仪表板中选择数据收集在左边的菜单上。
  2. 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源
  3. 从“安全数据”部分,单击Web代理图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。
  5. 选择发送未经过滤的日志
  6. 选择时区与事件源日志的位置匹配。
  7. 选择一个归因源
  8. 选择一个收集的方法并指定端口和协议。
    • 可选的选择加密事件源,如果通过下载Rapid7证书
  9. 点击保存

归因源选择

ZScaler NSS产品日志包括主机和帐号信息。当设置ZScaler NSS作为事件源时,你将有能力指定以下属性选项:

  1. 如果可能,使用IDR引擎;如果没有,使用事件日志

通过选择该选项,InsightIDR属性引擎将使用日志行中显示的源地址执行属性。如果无法使用源地址解析资产或账户,则将使用日志行中存在的资产或账户(如果有的话)。

  1. 如果可能,使用事件日志;如果没有,请使用IDR引擎

通过选择此选项,属性将使用日志行中显示的资产和帐户完成。如果日志行中没有资产或帐户,InsightIDR属性引擎将使用日志行中存在的源地址执行属性。

  1. 仅使用IDR引擎

通过选择此选项,InsightIDR属性引擎将使用日志行中显示的源地址执行属性,而忽略日志行中显示的任何资产和帐户。

  1. 只使用事件日志

通过选择这个选项,属性将使用日志行中显示的资产和帐户来完成,而忽略源地址。

验证配置

完成以下步骤来查看日志,并确保事件正在进入收集器:

  1. 单击InsightIDR左侧菜单中的“Data Collection”,导航到“Event Sources”页签。找到刚刚创建的新事件源并单击查看原始日志按钮。如果您在框中看到日志消息,那么这表明日志正在流向收集器。
  2. 点击日志搜索在InsightIDR的左侧菜单中。
  3. 选择适用的日志集和其中的日志名称。日志名称将是您给事件源的名称。Zscaler日志会流入Web代理事件产生日志时设置的Web代理活动日志。

日志至少需要7分钟才能出现在“日志搜索”中

请注意,设置事件源后,日志至少需要7分钟才能出现在日志搜索中。如果您在事件源上选择“查看原始日志”时看到了日志消息,但等待几分钟后在“日志搜索”中没有看到任何日志消息,那么您的日志不符合该事件源的推荐格式和类型。