Zscaler インテグレーションガイド🔗
Zscalerは、Nanolog Streaming Service (NSS) を介してログを送信するように設定する必要があります。Secureworks® Taegis™ XDR は、Zscalerログを収集するためにNSSおよびCloud NSSをサポートしています。
以下の情報は、Zscaler NSSでログ転送を設定するために必要なアクションと手順を提供します。
ログ取り込み方法の選択🔗
Zscaler NSSは、SyslogまたはHTTPを使用してXDRにログを送信できます。
Zscalerドキュメント の手順に従い、HTTP送信先またはTaegis™ XDR Collectorへのログ転送を設定してください。
接続要件🔗
NSS🔗
| ソース | 宛先 | ポート/プロトコル |
|---|---|---|
| Zscaler NSS | XDR Collector (mgmt IP) | TCP/601 |
Cloud NSS🔗
| ソース | 宛先 | ポート/プロトコル |
|---|---|---|
| Zscaler Cloud NSS | HTTP Ingestインテグレーション作成時にXDRから提供されるURL | TCP/443 |
インテグレーションから提供されるデータ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Zscaler Cloud Firewall | DNS、Netflow | ||
| Zscaler Secure Web Gateway | HTTP | Thirdparty |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。
ログ設定要件🔗
注意
Policy Reason フィールドはSecureworksで使用されないため、任意のオプションを選択できます。
Webログ🔗
Webログ の設定手順を完了する際、以下の要件を考慮してください:
- SIEM IP Address — これはXDR CollectorのIPアドレスである場合があります。
- SIEM TCP Port — 601/tcp を入力
- NSS Type — NSS for Web を選択
- Feed Output Type — カスタム
- User Obfuscation — 無効化
- Feed Output Format — 以下の文字列を入力してください:
NSS_Web_v1 %s{mon} %d{dd} %d{hh}:%d{mm}:%d{ss} %d{yyyy} recordId=%d{recordid} login=%s{login} dname=%s{host} dip=%s{sip} sip=%s{cip} natPublicIp=%s{cintip} url=%s{url} ua=%s{ua} module=%s{module} proto=%s{proto} action=%s{action} reason=%s{reason} appName=%s{appname} appClass=%s{appclass} fileType=%s{filetype} reqSize=%d{reqsize} responseSize=%d{respsize} totalSize=%d{totalsize} sTime=%d{ctime} cTime=%d{ctime} malwareCat=%s{malwarecat} malwareClass=%s{malwareclass} threatName=%s{threatname} riskScore=%d{riskscore} DLPEng=%s{dlpeng} DLPDict=%s{dlpdict} location=%s{location} dept=%s{dept} reqMethod=%s{reqmethod} respCode=%s{respcode} respVersion=%s{respversion} urlClass=%s{urlclass} urlSuperCat=%s{urlsupercat} urlCat=%s{urlcat} referer=%s{referer}
ファイアウォールログ🔗
ファイアウォールログ の設定手順を完了する際、以下の要件を考慮してください:
- SIEM IP Address — これはXDR CollectorのIPアドレスである場合があります。
- SIEM TCP Port — 601/tcp を入力
- NSS Type — NSS for Firewall を選択
- Feed Output Type — カスタム を選択
- User Obfuscation — 無効化
- Feed Output Format — 以下をコピー&ペーストしてください:
time="%s{time}" login="%s{login}" dept="%s{dept}" location="%s{location}" cdport="%d{cdport}" csport="%d{csport}" sdport="%d{sdport}" ssport="%d{ssport}" csip="%s{csip}" cdip="%s{cdip}" ssip="%s{ssip}" sdip="%s{sdip}" tsip="%s{tsip}" tsport="%d{tsport}" ttype="%s{ttype}" action="%s{action}" dnat="%s{dnat}" stateful="%s{stateful}" aggregate="%s{aggregate}" nwsvc="%s{nwsvc}" nwapp="%s{nwapp}" ipproto="%s{ipproto}" ipcat="%s{ipcat}" destcountry="%s{destcountry}" avgduration="%d{avgduration}" rulelabel="%s{rulelabel}" inbytes="%ld{inbytes}" outbytes="%ld{outbytes}" duration="%d{duration}" durationms="%d{durationms}" numsessions="%d{numsessions}"
DNSログ🔗
DNSログ の設定手順を完了する際、以下の要件を考慮してください:
- SIEM IP Address — これはXDR CollectorのIPアドレスである場合があります。
- SIEM TCP Port — 601/tcp を入力
- NSS Type — NSS for DNS を選択
- Feed Output Type — カスタム を選択
- User Obfuscation — 無効化
- Feed Output Format — 以下をコピー&ペーストしてください: