Zscalerインテグレーションガイド🔗
ZscalerはNanolog Streaming Service(NSS)を介してログを送信するように設定する必要があります。Secureworks® Taegis™ XDRは、NSSおよびCloud NSSをサポートしており、Zscalerのログを収集できます。
以下の情報は、Zscaler NSSでログ転送を設定するために必要なアクションと手順を提供します。
ログ取り込み方法の選択🔗
Zscaler NSSは、SyslogまたはHTTPを使用してXDRにログを送信できます。
Zscalerドキュメントの手順に従い、HTTP送信先またはTaegis™ XDR Collectorへのログ転送を設定してください。
接続要件🔗
NSS🔗
| ソース | 宛先 | ポート/プロトコル |
|---|---|---|
| Zscaler NSS | XDR Collector(管理IP) | TCP/601 |
Cloud NSS🔗
| ソース | 宛先 | ポート/プロトコル |
|---|---|---|
| Zscaler Cloud NSS | HTTP Ingestインテグレーション作成時にXDRから提供されたURL | TCP/443 |
インテグレーションから提供されるデータ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Zscaler Cloud Firewall | DNS、Netflow | ||
| Zscaler Secure Web Gateway | HTTP | Thirdparty |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマへ正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検知を生成することができます。
ログ設定要件🔗
注意
Policy ReasonフィールドはSecureworksで使用されないため、任意のオプションを選択できます。
Webログ🔗
Webログの設定手順を完了する際、以下の要件を考慮してください:
- SIEM IPアドレス — これはXDR CollectorのIPアドレスである場合があります。
- SIEM TCPポート — 601/tcpを入力
- NSSタイプ — NSS for Webを選択
- Feed Output Type — カスタム
- User Obfuscation — 無効化
- Feed Output Format — 以下の文字列を入力:
NSS_Web_v1 %s{mon} %d{dd} %d{hh}:%d{mm}:%d{ss} %d{yyyy} recordId=%d{recordid} login=%s{login} dname=%s{host} dip=%s{sip} sip=%s{cip} natPublicIp=%s{cintip} url=%s{url} ua=%s{ua} module=%s{module} proto=%s{proto} action=%s{action} reason=%s{reason} appName=%s{appname} appClass=%s{appclass} fileType=%s{filetype} reqSize=%d{reqsize} responseSize=%d{respsize} totalSize=%d{totalsize} sTime=%d{ctime} cTime=%d{ctime} malwareCat=%s{malwarecat} malwareClass=%s{malwareclass} threatName=%s{threatname} riskScore=%d{riskscore} DLPEng=%s{dlpeng} DLPDict=%s{dlpdict} location=%s{location} dept=%s{dept} reqMethod=%s{reqmethod} respCode=%s{respcode} respVersion=%s{respversion} urlClass=%s{urlclass} urlSuperCat=%s{urlsupercat} urlCat=%s{urlcat} referer=%s{referer}
ファイアウォールログ🔗
ファイアウォールログの設定手順を完了する際、以下の要件を考慮してください:
- SIEM IPアドレス — これはXDR CollectorのIPアドレスである場合があります。
- SIEM TCPポート — 601/tcpを入力
- NSSタイプ — NSS for Firewallを選択
- Feed Output Type — カスタムを選択
- User Obfuscation — 無効化
- Feed Output Format — 以下をコピー&ペースト:
time="%s{time}" login="%s{login}" dept="%s{dept}" location="%s{location}" cdport="%d{cdport}" csport="%d{csport}" sdport="%d{sdport}" ssport="%d{ssport}" csip="%s{csip}" cdip="%s{cdip}" ssip="%s{ssip}" sdip="%s{sdip}" tsip="%s{tsip}" tsport="%d{tsport}" ttype="%s{ttype}" action="%s{action}" dnat="%s{dnat}" stateful="%s{stateful}" aggregate="%s{aggregate}" nwsvc="%s{nwsvc}" nwapp="%s{nwapp}" ipproto="%s{ipproto}" ipcat="%s{ipcat}" destcountry="%s{destcountry}" avgduration="%d{avgduration}" rulelabel="%s{rulelabel}" inbytes="%ld{inbytes}" outbytes="%ld{outbytes}" duration="%d{duration}" durationms="%d{durationms}" numsessions="%d{numsessions}"
DNSログ🔗
DNSログの設定手順を完了する際、以下の要件を考慮してください:
- SIEM IPアドレス — これはXDR CollectorのIPアドレスである場合があります。
- SIEM TCPポート — 601/tcpを入力
- NSSタイプ — NSS for DNSを選択
- Feed Output Type — カスタムを選択
- User Obfuscation — 無効化
- Feed Output Format — 以下をコピー&ペースト:
time="%s{time}" login="%s{login}" dept="%s{dept}" location="%s{location}" reqaction="%s{reqaction}" reqrulelabel="%s{resrulelabel}" reqtype="%s{reqtype}" req="%s{req}" cip="%s{cip}" sport="%d{sport}" durationms="%d{durationms}" sip="%s{sip}" domcat="%s{domcat}"