インターネットとSaaSへのセキュアなアクセス(ZIA)
メールDLPログ用のクラウドNSSフィードの追加
メール情報漏洩防止(DLP)ログ用のクラウドNSSフィードを設定するには、次の手順を実行します。
- [管理]>[Nanolog配信サービス]の順に移動します。
[クラウドNSSフィード]タブで、[クラウドNSSフィードの追加]をクリックします。
[クラウドNSSフィードの追加]ウィンドウが表示されます。
- [クラウドNSSフィードの追加]ウィンドウで次の操作を行います。
- [フィード名]:フィードの名前を入力します。各フィードは、NSSとSIEM間の接続です。
- NSSタイプ:NSS for Webがデフォルトで選択されています。
- [ステータス]:クラウドNSSフィードはデフォルトで有効になっています。後でアクティブにする場合は、[無効]を選択します。
- [SIEMレート]: SIEMライセンス供与またはその他の制約のために出力ストリームを調整する必要がない限り、[無制限]のままにします。
- [SIEMレート制限(1秒あたりのイベント数)]: 1秒あたりSIEMにストリーミングするイベント数の適切なレート制限を入力します。トラフィック量に対して制限が低すぎると、ログが失われます。このフィールドは、[SIEMレート]フィールドで[制限付き]を選択した場合にのみ使用できます。
- [SIEMタイプ]:リストからSIEMタイプを選択します。
- [OAuth 2.0認証]:この設定はSIEMタイプに適用可能な場合、デフォルトで有効になります。
- [最大バッチサイズ]:個々のHTTPリクエストペイロードのサイズ制限をSIEMのベストプラクティスに沿って入力します。
- [API URL]:SIEMログ収集APIエンドポイントのHTTPS URLを入力します。
- [HTTPヘッダー]: HTTPヘッダー情報を入力します。
- [キー1]:HTTPヘッダーのキーを入力します。
- [値1]:HTTPヘッダーのトークン値を入力します。
- HTTPヘッダーの追加:ここをクリックすると、さらにHTTPヘッダー(キーと値)を追加することができます。
- [ログ タイプ]:[メールDLP]を選択します。
[フィード出力タイプ]:出力はデフォルトでJSONです。[タブ区切り]を選択して、タブ区切りリストを作成します。ダッシュなどの別の区切り文字を使用するには、[カスタム]を選択し、[フィード出力形式]を指定するときに区切り文字を入力します。
[フィード出力タイプ]として[JSON]を選択した場合、文字列フィールドに存在する
\
のような特殊文字によって、SIEMについてのパーシングの問題が発生する可能性があります。この問題を回避するには、[フィード エスケープ文字]として,\"
と入力し、[フィード出力形式]で(たとえば、%s{login}
の代わりに%s{elogin}
)16進エンコードされたフィールドを使用します.
- [JSON配列表記]:JSONが選択されている場合、JSON配列表記設定はデフォルトで有効になります。この設定により、NSSはJSON配列形式でログのバッチをストリーミングできます。個々のログはリスト内で順序付けられ、カンマで区切られ、角括弧で囲まれます(例:[\{JSON1}、\{JSON2}])。この設定は無効にできます。
- [フィード エスケープ文字]: Zscalerサービス hexは、ログをNSSに送信するときに、URLに含まれるすべての印刷不可能なASCII文字をエンコードします。0x21未満または0x7Eを超えるURL文字は
%HH
としてエンコードされます。これにより、SIEMは、印刷不可の文字を含む場合にURLをパースできます。たとえば、URLの\n
文字は%0A
としてエンコードされ、スペースは%20
としてエンコードされます。このフィールドでは、エンコードする追加の文字を指定できます。たとえば、カンマ(,
)を入力して%2C
としてエンコードします。これは、この文字を区切り文字として使用していて、誤った区切りを引き起こさないようにする場合に便利です。このサービスは、URL、ホスト名および参照URLの文字のみをエンコードすることに注意してください。レコードに対してカスタム エンコードが行われた場合、%s{eedone}
フィールドはそのレコードについてはYES
です。 - [フィード出力形式]:これらは、出力に表示されるフィールドです。デフォルトのリストを編集し、[フィード出力タイプ]として[カスタム]を選択した場合は、区切り文字も変更できます。利用可能なフィールドとその構文については、NSSフィード出力形式:メールDLPログを参照してください。
- [タイムゾーン]:デフォルトでは、これは組織のタイム ゾーンに設定されています。設定したタイム ゾーンは、出力ファイルの時間フィールドに適用されます。タイム ゾーンは、特定のタイム ゾーンの夏時間の変化に合わせて自動的に調整されます。設定されたタイム ゾーンは、別のフィールドとしてログに出力できます。タイム ゾーンのリストは、IANAタイム ゾーン データベースから取得されます。直接GMTオフセットも指定できます。
- フィルターを定義します。
- Who
- [ユーザー]:このフィルターを使用して、トランザクションを生成した特定のユーザー(つまり、送信者)にログを制限します。ユーザー名またはメール アドレスでユーザーを検索できます。選択できるユーザー数に制限はありません。選択した後に削除されたユーザーは、取り消し線付きで表示されます。
- 部署:このフィルターを使用して、トランザクションを生成した特定の部署にログを制限します。部署を検索できます。選択できる部署の数に制限はありません。選択した後に削除された部署には、取り消し線が表示されます。
- DLPのアーカイブ伸張の有効化
- [DLPエンジン]:このフィルターを使用して、特定のDLPエンジンに基づいてデータ漏洩が検出されたトランザクションにログを制限します。複数選択が可能です。
- [DLP辞書]:このフィルターを使用して、特定のDLP辞書に基づいてデータ漏洩が検出されたトランザクションにログを制限します。複数選択が可能です。
- [レコード タイプ]:このフィルターを使用して、レコードのタイプに基づいてログを制限します。複数の選択が可能です。
- [DLPインシデント]: DLPルールの違反が検出されました。
- [スキャン]:スキャンは正常です(つまり、DLPルール違反や機密データの移動は検出されませんでした)。
- [機密アクティビティー]:機密データの移動が検出されました。
- アクション
- [ポリシー アクション]:このフィルターを使用して、Zscalerサービスにより許可またはブロックされたトランザクションにログを制限します。[カスタム ヘッダー挿入]を選択して、カスタム ヘッダー(例、X-Zscaler-Scan:Quarantine)で定義されたメール アプリケーション(例、Microsoft Exchange)によって実行された違うアクション(例、隔離)をもたらしたトランザクションにログを制限します。
- [重大度]:このフィルターを使用して、アウトバウンド メール ポリシーで構成されている特定のDLPルールの重大度に関連付けられたログ トランザクションを制限します。複数選択が可能です。
- Who
- 保存 と 変更を有効にする をクリックします。