Zscaler 解析器概览
支持的语言:
Google SecOps
SIEM
本文档列出了可将 Zscaler 产品日志标准化为 Google Security Operations 统一数据模型 (UDM) 字段的 Zscaler 解析器。其中简要介绍了每款 Zscaler 产品及其应用场景。
配置 Zscaler 日志注入
如需将 Zscaler 日志注入到 Google SecOps,请点击表格中相应的注入机制链接,然后按照每个解析器随附的说明操作。
Zscaler 产品和说明
下表列出了 Google SecOps 支持的 Zscaler 解析器。此外,该表格还列出了每个解析器的相应提取标签及其各自的产品说明。您可以点击每个解析器随附的提取机制链接,查看要遵循的提取机制的详细步骤。 如需查看解析器的映射参考文档,请点击表格中对应的解析器名称。
| 产品名称 | 注入标签 | 产品描述 |
|---|---|---|
Webproxy |
ZSCALER_WEBPROXY |
Zscaler Webproxy 是一款为云端打造的高级 Web 代理解决方案。它会根据身份、上下文和业务政策,在用户与应用之间建立连接,并大规模检查所有流量(包括 TLS/SSL)。它旨在保护数据、消除漏洞并防止数据丢失。它充当客户端与服务器之间的中介,提供对资源的安全访问,并保护服务器免受恶意软件和其他威胁的侵害。
Zscaler Web 代理提取机制 |
Firewall |
ZSCALER_FIREWALL |
Zscaler Firewall 是一种基于云的安全解决方案,可保护 Web 流量和非 Web 流量。它通过本地互联网出口路由流量,从而增强连接性和可用性,并消除了对 VPN 和冗余安全设备的需求。作为防火墙即服务解决方案,Zscaler 会处理更新、升级和补丁。这有助于节省费用并降低复杂性。它会记录每个会话,以确保全面了解情况并访问必要的信息。
Zscaler 防火墙提取机制 |
Admin Audit |
ZSCALER_INTERNET_ACCESS |
Zscaler Internet Access 会记录管理员在 ZIA 管理门户中执行的每项操作,以及通过云服务 API 进行的操作。这些日志可提供相关信息,以便您查看对 PAC 文件或网址过滤政策所做的更改。它有助于跟踪管理员在登录会话期间所做的更改,并支持合规性演示。它可以及时检测和调查可疑活动或对管理界面的未经授权的访问。因此,它可确保网络的安全性与完整性。
Zscaler Internet Access 提取机制 |
DNS |
ZSCALER_DNS |
Zscaler DNS 安全和控制服务提供多种机制来控制您的 DNS 架构和响应。通过代理 DNS 请求,您可以在 Zscaler Zero Trust Exchange (ZTE) 中强制执行组织的 DNS 政策。当 DNS 请求到达 ZTE 时,该请求会被打开并检查。除非您授权,否则任何 DNS 请求都无法绕过检查,因为您可以限制用户只能使用您指定的 DNS 服务器。Zscaler 建议将 ZTR 服务用作 DNS 解析器。ZTR 实例遍布 Zscaler 在全球的 150 多个数据中心。
Zscaler DNS 提取机制 |
Tunnel |
ZSCALER_TUNNEL |
Zscaler 服务使用名为 Zscaler 隧道 (Z-Tunnel) 的轻量级 HTTP 隧道将流量转发到 ZIA 公共服务边缘。当用户连接到网络时,Zscaler Client Connector 会建立 Z-Tunnel 到最近的 ZIA Public Service Edge,并通过该隧道转发网络流量,以便 ZIA Public Service Edge 可以应用适当的安全和访问策略。
Zscaler 隧道注入机制 |
CASB |
ZSCALER_CASB |
Zscaler 多模式云访问安全代理 (CASB) 可保护传输中的云数据(通过代理)和静态云数据(通过 API)。管理员配置一项自动化政策,以在所有云数据渠道中实现一致的安全性。借助 Zscaler CASB(作为全面的 Zscaler Zero Trust Exchange™ 的一部分,包含 SWG、ZTNA 等),您可以避免使用单点产品,降低 IT 复杂性,并仅检查流量。Zscaler CASB 可保护 Microsoft 365 和 Salesforce 等 SaaS 以及 Amazon S3 等 IaaS 产品,防止因风险共享而导致敏感数据泄露或违规。
Zscaler CASB 注入机制 |
VPN |
ZSCALER_VPN |
Zscaler VPN 可为用户提供最快速、最安全的私有应用和运营技术 (OT) 设备访问权限,同时为工作负载实现零信任连接。通过将网络划分为更小的网段来隔离潜在威胁,Zscaler 可最大限度地降低安全风险和攻击面。它利用人工智能技术,根据用户或设备活动的上下文强制执行政策,从而确保强大的安全性。
Zscaler VPN 提取机制 |
ZPA |
ZSCALER_ZPA |
Zscaler Private Access (ZPA) 会围绕每个应用建立隔离的环境,使网络和应用对互联网不可见。这样一来,它便消除了 VPN 安全风险,并使 IT 团队能够通过移除入站网关设备来简化运营。
Zscaler ZPA 提取机制 |
DLP |
ZSCALER_DLP |
Zscaler 端点数据泄露防护 (DLP) 政策用于保护组织免遭端点数据泄露。端点 DLP 政策通过将敏感数据监控范围扩展到最终用户在端点上执行的活动(包括打印、保存到可移动存储设备、保存到网络共享或上传到个人 Cloud Storage 账号),来补充 Zscaler DLP 政策。Zscaler 自定义和预定义的 DLP 引擎可用于检测敏感数据、允许或阻止用户活动,并在端点上的用户活动触发端点 DLP 规则时通知组织的审核员。
Zscaler DLP 提取机制 |
ZPA Audit |
ZSCALER_ZPA_AUDIT |
Zscaler Private Access (ZPA) 会围绕每个应用建立隔离的环境,使网络和应用对互联网不可见。这样一来,它便消除了 VPN 安全风险,并使 IT 团队能够通过移除入站网关设备来简化运营。Zscaler Private Access (ZPA) 包含一项审核日志记录功能,可记录 ZPA 管理员门户中的管理活动。这些审核日志会捕获管理员登录和退出尝试、配置更改以及管理员执行的其他操作等详细信息。这样可以详细记录管理操作,从而增强安全性并提高合规性,同时有助于在 ZPA 环境中进行监控和问题排查。
Zscaler ZPA 审核提取机制 |
ZSCALER_DECEPTION |
ZSCALER_DECEPTION |
Zscaler Deception 是一种基于欺骗的威胁检测平台,作为 Zscaler Zero Trust Exchange 的一部分提供。这是一项集成功能,可使用诱饵/蜜罐来检测已绕过现有防御措施的高级网络内威胁。组织使用 Zscaler Deception 来检测遭入侵的用户、阻止横向移动,并防范人为操作的勒索软件、可自定义的键盘威胁、供应链攻击和恶意内部人员。 Zscaler Deception 提取机制 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。