LoginSignup
9
1

More than 1 year has passed since last update.

Microsoft Security Advent Calendar 2022Advent Calendar 2022Day 9
@katsato(Katsunori SATO)

Zscaler Internet Access と Sentinel の統合

Last updated at Posted at 2022-12-08

はじめに

セキュアウェブゲートウェイ (クラウドプロキシ) として有名な Zscaler Internet Access (ZIA)。こちらのアクセスログを SIEM で分析したいという要件は多いと思います。今回は Microsoft の SIEM 製品である Sentinel で ZIA のログを分析してみます。

Sentinel とは?

Sentinel の説明はいろいろ記事があるため簡単な紹介だけ。以下が特長です。

  • Microsoft の Azure で提供する クラウドネイティブ SIEM
  • Azure サブスクリプションさえあればすぐに使い始めることが可能
  • スケーラブルで使った分だけ従量課金
  • UEBA や SOAR の機能も備える

詳細はこちらから。
https://learn.microsoft.com/ja-jp/azure/sentinel/overview

ZIA のログ取り込み

Sentinel で分析するためにはまず ZIA のログを Log Analytics ワークスペースに取り込む必要があります。2022.11 時点ではクラウド同士の連携機能ができないため、ZIAの Nanolog Streaming Service (NSS) サーバと CEF コレクターを使用します。今回は Azure で確認していますが、他クラウドやオンプレでも OK です。

image.png

各構成を詳細に説明すると大変なので、このあたりは公式ドキュメントに任せます。

Nanolog Streaming Service を構成
https://help.zscaler.com/zia/nss-deployment-guide-microsoft-azure

CEF コレクターを構成
https://learn.microsoft.com/ja-jp/azure/sentinel/connect-log-forwarder?tabs=rsyslog
image.png

動作確認

問題なく構成できていれば、Log Analytics ワークスペースに以下のように Zscaler のログが CommonSecurityLog として記録されます。
image.png

脅威検知

まずは「コンテンツ ハブ」から分析ルールや可視化用のブックを有効化します。コンテンツ ハブはデータ ソースごとにこれらの関連リソースをまとめてデプロイするためのコンテンツセットのギャラリーと考えていただければと思います。こちらを有効化しなくても分析ルールやブックなどが元々入っているものもありますが、よりサービスにフォーカスした形になっているので、まずは分析したいサービスがないか探すようにしましょう。
image.png

次に分析ルールを確認して有効化します。
Zscaler に関連する分析ルールだけでも2022.11 現在で 40 以上あります。
image.png

こちらを有効化することで分析ルールによる脅威検知が可能になります。
検知したインシデントは以下のようになります。こちらは不正な認証失敗のリクエストが大量に発生したケースです。ちなみにこちらのルールは Advanced Security Information Model (ASIM) という技術を使い、ZIA のログを正規化したログで分析をしているため、ZIA の他にもSquid ログなども併せて分析可能になります。
image.png

こちらは取り込んだ脅威情報との突き合わせにより、脅威のある IP アドレスへのアクセスを ZIA のログから検知した結果です。
image.png

可視化

可視化は主にブックの機能を使用します。こちらも組み込みやコンテンツ ハブで提供されており、すぐ使うことが可能です。こちらに関しては正直なところ ZIA ポータル上でもかなりの範囲できれいに可視化できるので、単純な可視化の要件であればあえて Sentinel を使う必要もないかとは思います。
image.png
image.png
image.png
image.png

セキュリティ運用自動化

いわゆる SOAR の領域ですが、Sentinel では Azure のサービスである Logic Apps を使用します。こちらを使うことで、Teams や Slack への通知やメールの送信、ServiceNow などの起票、ファイアウォール・プロキシへの IP や URL のブロックルールの作成、端末の隔離、ストレージサービスへの証跡の格納などがノーコードで実現可能です。
ZIA 関連では以下のようなテンプレートが準備されています。
image.png
image.png

こちらを使用することで、通常オペレータが実施していたような、インシデントに関連する IP アドレスや URL のブロックルール登録を自動化することが可能になります。

まとめ

今回の記事では Sentinel を使用して ZIA のログの分析を行ってみました。今回紹介したものはすべて組み込みで提供されていますので、Azure のサブスクリプションさえあれば、すぐ使い始めることが可能です。ぜひ Zscaler のログ保管・分析を Sentinel で始めてみてはいかがでしょうか。

9
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
9
1