Zscaler

Supported OS Linux Mac OS Windows

Présentation

Zscaler Internet Access (ZIA) est une passerelle Internet et Web sécurisée fournie en tant que service à partir du cloud. Les logs ZIA sont envoyés à Datadog via HTTPS à l’aide de la solution Cloud NSS. Datadog ingère des données de télémétrie ZIA afin que vous puissiez appliquer des règles de sécurité ou visualiser vos données dans des dashboards.

Prérequis

Un abonnement à la solution Cloud NSS Zscaler est requis.

Configuration

Logs Web ZIA

  1. Depuis la console ZIA, accédez à Administration > Nanolog Streaming Service.
  2. Sélectionnez l’onglet Cloud NSS Feeds, puis cliquez sur Add cloud NSS Feed.
  3. Dans la boîte de dialogue qui s’affiche, saisissez ou sélectionnez les valeurs suivantes :
    • Feed Name : <NOM_FLUX>
    • NSS Type : NSS for Web
    • SIEM Type : Other
    • Batch Size : 16
    • API URL : https://http-intake.logs.datadoghq.com/v1/input?ddsource=zscaler
    • HTTP headers :
      • Key : Content-Type ; Value : application/json
      • Key : DD-API-KEY ; Value : <VOTRE_CLÉ_API_DATADOG>
  4. Dans la section Formatting, saisissez ou sélectionnez les valeurs suivantes :
    • Log Type : Web log
    • Output Type : JSON
    • Feed Escape Character : \",
    • Feed Output Format :
      \{ "sourcetype" : "zscalernss-web", "event" : \{"datetime":"%d{yy}-%02d{mth}-%02d{dd} %02d{hh}:%02d{mm}:%02d{ss}","reason":"%s{reason}","event_id":"%d{recordid}","protocol":"%s{proto}","action":"%s{action}","transactionsize":"%d{totalsize}","responsesize":"%d{respsize}","requestsize":"%d{reqsize}","urlcategory":"%s{urlcat}","serverip":"%s{sip}","clienttranstime":"%d{ctime}","requestmethod":"%s{reqmethod}","refererURL":"%s{ereferer}","useragent":"%s{eua}","product":"NSS","location":"%s{elocation}","ClientIP":"%s{cip}","status":"%s{respcode}","user":"%s{elogin}","url":"%s{eurl}","vendor":"Zscaler","hostname":"%s{ehost}","clientpublicIP":"%s{cintip}","threatcategory":"%s{malwarecat}","threatname":"%s{threatname}","filetype":"%s{filetype}","appname":"%s{appname}","pagerisk":"%d{riskscore}","department":"%s{edepartment}","urlsupercategory":"%s{urlsupercat}","appclass":"%s{appclass}","dlpengine":"%s{dlpeng}","urlclass":"%s{urlclass}","threatclass":"%s{malwareclass}","dlpdictionaries":"%s{dlpdict}","fileclass":"%s{fileclass}","bwthrottle":"%s{bwthrottle}","servertranstime":"%d{stime}","contenttype":"%s{contenttype}","unscannabletype":"%s{unscannabletype}","deviceowner":"%s{deviceowner}","devicehostname":"%s{devicehostname}"\}\}
  5. Cliquez sur Save.
  6. Sélectionnez Activate pour appliquer vos modifications.

Logs de pare-feu ZIA

  1. Depuis la console ZIA, accédez à Administration > Nanolog Streaming Service.
  2. Sélectionnez l’onglet Cloud NSS Feeds, puis cliquez sur Add cloud NSS Feed.
  3. Dans la boîte de dialogue qui s’affiche, saisissez ou sélectionnez les valeurs suivantes :
    • Feed Name : <NOM_FLUX>
    • NSS Type : NSS for Firewall
    • SIEM Type : Other
    • Batch Size : 16
    • API URL : https://http-intake.logs.datadoghq.com/v1/input?ddsource=zscaler
    • HTTP headers :
      • Key : Content-Type ; Value : application/json
      • Key : DD-API-KEY ; Value : <VOTRE_CLÉ_API_DATADOG>
  4. Dans la section Formatting, saisissez ou sélectionnez les valeurs suivantes :
    • Log Type : Firewall logs
    • Firewall Log Type : Full Session Logs
    • Feed Output Type : JSON
    • Feed Escape Character : \",
    • Feed Output Format :
      \{ "sourcetype" : "zscalernss-fw", "event" :\{"datetime":"%s{time}","user":"%s{elogin}","department":"%s{edepartment}","locationname":"%s{elocation}","cdport":"%d{cdport}","csport":"%d{csport}","sdport":"%d{sdport}","ssport":"%d{ssport}","csip":"%s{csip}","cdip":"%s{cdip}","ssip":"%s{ssip}","sdip":"%s{sdip}","tsip":"%s{tsip}","tunsport":"%d{tsport}","tuntype":"%s{ttype}","action":"%s{action}","dnat":"%s{dnat}","stateful":"%s{stateful}","aggregate":"%s{aggregate}","nwsvc":"%s{nwsvc}","nwapp":"%s{nwapp}","proto":"%s{ipproto}","ipcat":"%s{ipcat}","destcountry":"%s{destcountry}","avgduration":"%d{avgduration}","rulelabel":"%s{erulelabel}","inbytes":"%ld{inbytes}","outbytes":"%ld{outbytes}","duration":"%d{duration}","durationms":"%d{durationms}","numsessions":"%d{numsessions}","ipsrulelabel":"%s{ipsrulelabel}","threatcat":"%s{threatcat}","threatname":"%s{ethreatname}","deviceowner":"%s{deviceowner}","devicehostname":"%s{devicehostname}"\}\}
  5. Cliquez sur Save.
  6. Sélectionnez Activate pour appliquer vos modifications.

Logs DNS ZIA

  1. Depuis la console ZIA, accédez à Administration > Nanolog Streaming Service.
  2. Sélectionnez l’onglet Cloud NSS Feeds, puis cliquez sur Add cloud NSS Feed.
  3. Dans la boîte de dialogue qui s’affiche, saisissez ou sélectionnez les valeurs suivantes :
    • Feed Name : <NOM_FLUX>
    • NSS Type : NSS for Firewall
    • SIEM Type : Other
    • Batch Size : 16
    • API URL : https://http-intake.logs.datadoghq.com/v1/input?ddsource=zscaler
    • HTTP headers :
      • Key : Content-Type ; Value : application/json
      • Key : DD-API-KEY ; Value : <VOTRE_CLÉ_API_DATADOG>
  4. Dans la section Formatting, saisissez ou sélectionnez les valeurs suivantes :
    • Log Type : DNS logs
    • Feed Output Type : JSON
    • Feed Escape Character : \",
    • Feed output format :
      \{ "sourcetype" : "zscalernss-dns", "event" :\{"datetime":"%s{time}","user":"%s{login}","department":"%s{dept}","location":"%s{location}","reqaction":"%s{reqaction}","resaction":"%s{resaction}","reqrulelabel":"%s{reqrulelabel}","resrulelabel":"%s{resrulelabel}","dns_reqtype":"%s{reqtype}","dns_req":"%s{req}","dns_resp":"%s{res}","srv_dport":"%d{sport}","durationms":"%d{durationms}","clt_sip":"%s{cip}","srv_dip":"%s{sip}","category":"%s{domcat}","odeviceowner":"%s{odeviceowner}","odevicehostname":"%s{odevicehostname}"\}\}
  5. Cliquez sur Save.
  6. Sélectionnez Activate pour appliquer vos modifications.

Logs de tunnel ZIA

  1. Depuis la console ZIA, accédez à Administration > Nanolog Streaming Service.
  2. Sélectionnez l’onglet Cloud NSS Feeds, puis cliquez sur Add cloud NSS Feed.
  3. Dans la boîte de dialogue qui s’affiche, saisissez ou sélectionnez les valeurs suivantes :
    • Feed Name : <NOM_FLUX>
    • NSS Type : NSS for Web
    • SIEM Type : Other
    • Batch Size : 16
    • API URL : https://http-intake.logs.datadoghq.com/v1/input?ddsource=zscaler
    • HTTP headers :
      • Key : Content-Type ; Value : application/json
      • Key : DD-API-KEY ; Value : <VOTRE_CLÉ_API_DATADOG>
  4. Dans la section Formatting, saisissez ou sélectionnez les valeurs suivantes :
    • Log Type : Tunnel
    • Feed Output Type : JSON
    • Feed Escape Character : \",
    • Feed Output Format :
      \{ "sourcetype" : "zscalernss-tunnel", "event" : \{"datetime":"%s{datetime}","Recordtype":"%s{tunnelactionname}","tunneltype":"IPSEC IKEV %d{ikeversion}","user":"%s{vpncredentialname}","location":"%s{locationname}","sourceip":"%s{sourceip}","destinationip":"%s{destvip}","sourceport":"%d{srcport}","destinationport":"%d{dstport}","lifetime":"%d{lifetime}","ikeversion":"%d{ikeversion}","spi_in":"%lu{spi_in}","spi_out":"%lu{spi_out}","algo":"%s{algo}","authentication":"%s{authentication}","authtype":"%s{authtype}","recordid":"%d{recordid}"\}\}
  5. Cliquez sur Save.
  6. Sélectionnez Activate pour appliquer vos modifications.

Validation

Lancez la sous-commande status de l’Agent et cherchez zscaler dans la section Checks.

Données collectées

Métriques

Zscaler n’inclut aucune métrique.

Checks de service

Zscaler n’inclut aucun check de service.

Événements

Zscaler n’inclut aucun événement.

Dépannage

Besoin d’aide ? Contactez l’assistance Datadog.