icon-zia.svg
インターネットとSaaSへのセキュアなアクセス(ZIA)

SaaSセキュリティアクティビティログのクラウドNSSフィードの追加

SaaSセキュリティアクティビティログのフィードの構成を開始する前に、フィードを構成するためのガイドラインを検討してください。

SaaSセキュリティアクティビティログのクラウドNSSフィードを設定することで、ユーザーが組織の認可済みSaaSアプリケーションで実行したアクティビティ(作成、削除、共有など)を追跡できます。SaaSアプリケーションに関する詳細情報(特定のファイル名、ソース、コラボレーター、アプリケーションカテゴリー、検出されたポリシーの脅威など)を追跡および表示するには、SaaSセキュリティログのクラウドNSSフィードを構成します。

SaaSセキュリティアクティビティログ用にクラウドNSSフィードを設定するには、次の操作を行います。

  1. [管理]>[Nanolog配信サービス]の順に移動します。
  2. [クラウドNSSフィード]タブで、[クラウドNSSフィードの追加]をクリックします。

[クラウドNSSフィードの追加]ウィンドウが表示されます。

  1. [クラウドNSSフィードの追加]ウィンドウで次の操作を行います。
    • フィード名:フィードの名前を入力または編集します。各フィードは、NSSとSIEMの間の接続です。
    • NSSタイプNSS for Webがデフォルトで選択されています。
    • ステータス:NSSフィードはデフォルトで有効になっています。後で有効にする場合は、[無効]を選択します。
    • SIEMレート:ライセンスやその他の制約のために出力ストリームを調整する必要がない限り、無制限のままにします。
    • SIEMレート制限(1秒あたりのイベント数):これは、SIEMレートの下で[制限]を選択した場合にのみ適用されます。SIEMにストリーム配信する1秒あたりのイベント数の適切なレート制限を入力します。この数値は100から1,000,000の間でなければなりません。トラフィック量に対して制限が小さすぎると、ログの損失が発生します。
    • [SIEMタイプ]:SIEMタイプをリストから選択します。
    • [OAuth 2.0認証]:この設定は、SIEMのタイプに適用できる場合、デフォルトで有効になります。
    • [最大バッチサイズ]:個々のHTTPリクエストペイロードのサイズ制限をSIEMのベストプラクティスに沿って入力します。
    • API URL:SIEMログ収集APIエンドポイントのHTTPS URLを入力します。
    • キー1:HTTPヘッダーのキーを入力します。
    • [値1]:HTTPヘッダーのトークン値を入力します。
    • HTTPヘッダーの追加:ここをクリックすると、さらにHTTPヘッダー(キーと値)を追加することができます。
    • ログの種類[SaaSセキュリティアクティビティ]を選択します。
    • フィード出力タイプ出力はデフォルトでJSONです。[タブ区切り]を選択して、タブ区切りのリストを作成します。[カスタム]を選択してダッシュなどの別の区切り文字を使用し、フィード出力形式を指定するときに区切り文字を入力します。このメニューには、特定のSIEMのフィード出力タイプも一覧表示されます。

[フィード出力の種類 ] として [JSON] を選択した場合、文字列フィールドに存在するような \ 特殊文字によって、SIEM の解析の問題が発生する可能性があります。 この問題を回避するには、フィード エスケープ文字 として入力 ,\" し、 %sフィード出力形式で (たとえば、 {elogin}} %s{ログイン} の代わりに)16進数エンコードされたフィールドを使用します.

  • [JSON配列表記]:JSONが選択されている場合、JSON配列表記設定はデフォルトで有効になります。この設定により、NSSはJSON配列形式でログのバッチをストリーミングできます。個々のログはリスト内で順序付けられ、カンマで区切られ、角括弧で囲まれます(例:[\{JSON1}、\{JSON2}])。この設定は無効にできます。
  • フィードエスケープ文字:Zscalerサービスの16進数は、ログをNSSに送信するときにURLにある印刷不可のすべてのASCII文字をエンコードします。0x21未満、または0x7E超のURL文字は、%HHとしてエンコードされます。これにより、SIEMは、印刷不可の文字を含む場合にURLをパースできます。たとえば、URLの\n文字は%0Aとしてエンコードされ、スペースは%20としてエンコードされます。このフィールドでは、エンコードする追加の文字を指定できます。たとえば、カンマ(,)を入力して%2Cとしてエンコードします。これは、この文字を区切り文字として使用していて、誤った区切りを引き起こさないようにしたい場合に便利です。このサービスは、URL、ホスト名、および参照URLの文字のみをエンコードすることに注意してください。レコードに対してカスタムエンコードが行われた場合、[%s{eedone}]フィールドはそのレコードについてYESです。
  • フィード出力形式これらは、出力に表示されるフィールドです。デフォルトのリストを編集します。[フィード出力タイプ]として[カスタム]を選択した場合は、区切り文字も変更します。使用可能なフィールドとその構文の詳細については、NSSフィード出力形式:SaaSセキュリティ アクティビティ ログを参照してください。
  • [タイムゾーン]:デフォルトでは、これは組織のタイム ゾーンに設定されています。設定したタイム ゾーンは、出力ファイルの時間フィールドに適用されます。タイム ゾーンは、特定のタイム ゾーンの夏時間への切り替えに合わせて自動的に調整されます。設定されたタイム ゾーンは、別のフィールドとしてログに出力できます。タイム ゾーンのリストは、IANAタイム ゾーン データベースから取得されます。直接GMTオフセットも指定できます。
  1. フィルターを定義します。
    • ユーザー:トランザクションを生成した特定のユーザーに基づいてログをフィルター処理します。ユーザー名またはEmailアドレスでユーザーを検索できます。選択できるユーザー数に制限はありません。選択した後に削除されたユーザーは、取り消し線付きで表示されます。
    • テナント:特定のアプリケーション テナントに基づいてログをフィルター処理します。複数のテナントを指定できます。
    • アクティビティ:特定のアクティビティに基づいてログをフィルター処理します。複数のタイプのアクティビティを指定できます。
    • オブジェクト1タイプとオブジェクト2タイプ:オブジェクトタイプ(組織など)に基づいてログをフィルタリングします。特定のオブジェクトタイプを検索することができます。該当する場合、アクティビティーには2番目のオブジェクトをリストすることができます。デフォルトのオプションは[なし]です。
  2. 保存変更を有効にする をクリックします。
関連記事s
クラウドNSSフィードの追加WebログのクラウドNSSフィードの追加ファイアウォール ログのクラウドNSSフィードの追加DNSログのクラウドNSSフィードの追加トンネルログのクラウドNSSフィードの追加SaaSセキュリティログのクラウドNSSフィードの追加SaaSセキュリティアクティビティログのクラウドNSSフィードの追加管理監査ログ用のクラウドNSSフィードの追加エンドポイントDLPのログ用のクラウドNSSフィードの追加メールDLPログ用のクラウドNSSフィードの追加