Zscalerインテグレーションガイド🔗
Zscalerは、Nanolog Streaming Service(NSS)を介してログをTaegis™ XDR Collectorに送信するように設定する必要があります。
以下の情報は、Zscaler NSSでログ転送を構成するために必要なアクションと手順を提供します。
接続要件🔗
| ソース | 宛先 | ポート/プロトコル |
|---|---|---|
| Zscaler NSS | XDR Collector(管理IP) | TCP/601 |
インテグレーションから提供されるデータ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Zscaler Cloud Firewall | DNS、Netflow | ||
| Zscaler Secure Web Gateway | HTTP | Thirdparty |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。
ログ構成要件🔗
注意
Policy ReasonフィールドはSecureworksで使用されないため、任意のオプションを選択できます。
Webログ🔗
Webログの構成手順を完了する際は、以下の要件を考慮してください。
- SIEM IPアドレス — これはXDR CollectorのIPアドレスである場合があります。
- SIEM TCPポート — 601/tcpを入力
- NSSタイプ — NSS for Webを選択
- Feed Output Type — カスタム
- User Obfuscation — 無効化
- Feed Output Format — 以下の文字列を入力してください。
NSS_Web_v1 %s{mon} %d{dd} %d{hh}:%d{mm}:%d{ss} %d{yyyy} recordId=%d{recordid} login=%s{login} dname=%s{host} dip=%s{sip} sip=%s{cip} natPublicIp=%s{cintip} url=%s{url} ua=%s{ua} module=%s{module} proto=%s{proto} action=%s{action} reason=%s{reason} appName=%s{appname} appClass=%s{appclass} fileType=%s{filetype} reqSize=%d{reqsize} responseSize=%d{respsize} totalSize=%d{totalsize} sTime=%d{ctime} cTime=%d{ctime} malwareCat=%s{malwarecat} malwareClass=%s{malwareclass} threatName=%s{threatname} riskScore=%d{riskscore} DLPEng=%s{dlpeng} DLPDict=%s{dlpdict} location=%s{location} dept=%s{dept} reqMethod=%s{reqmethod} respCode=%s{respcode} respVersion=%s{respversion} urlClass=%s{urlclass} urlSuperCat=%s{urlsupercat} urlCat=%s{urlcat} referer=%s{referer}
ファイアウォールログ🔗
ファイアウォールログの構成手順を完了する際は、以下の要件を考慮してください。
- SIEM IPアドレス — これはXDR CollectorのIPアドレスである場合があります。
- SIEM TCPポート — 601/tcpを入力
- NSSタイプ — NSS for Firewallを選択
- Feed Output Type — カスタムを選択
- User Obfuscation — 無効化
- Feed Output Format — 以下をコピー&ペーストしてください。
time="%s{time}" login="%s{login}" dept="%s{dept}" location="%s{location}" cdport="%d{cdport}" csport="%d{csport}" sdport="%d{sdport}" ssport="%d{ssport}" csip="%s{csip}" cdip="%s{cdip}" ssip="%s{ssip}" sdip="%s{sdip}" tsip="%s{tsip}" tsport="%d{tsport}" ttype="%s{ttype}" action="%s{action}" dnat="%s{dnat}" stateful="%s{stateful}" aggregate="%s{aggregate}" nwsvc="%s{nwsvc}" nwapp="%s{nwapp}" ipproto="%s{ipproto}" ipcat="%s{ipcat}" destcountry="%s{destcountry}" avgduration="%d{avgduration}" rulelabel="%s{rulelabel}" inbytes="%ld{inbytes}" outbytes="%ld{outbytes}" duration="%d{duration}" durationms="%d{durationms}" numsessions="%d{numsessions}"
DNSログ🔗
DNSログの構成手順を完了する際は、以下の要件を考慮してください。
- SIEM IPアドレス — これはXDR CollectorのIPアドレスである場合があります。
- SIEM TCPポート — 601/tcpを入力
- NSSタイプ — NSS for DNSを選択
- Feed Output Type — カスタムを選択
- User Obfuscation — 無効化
- Feed Output Format — 以下をコピー&ペーストしてください。