はじめに
本記事はゼットスケーラー株式会社としては初のAdvent Calender 2023の一つとして投稿しています。以下の免責事項をご理解の上、記事を読んで頂けると幸いです。
免責事項
本記事のコンテンツや情報において、可能な限り正確な情報を掲載するよう努めておりますが、 誤情報が入り込んだり、情報が古くなったりすることもあり、必ずしもその内容の正確性および完全性を保証するものではございません。そのため、本記事をエビデンスとしたゼットスケーラーへの問い合わせなどはご対応致しかねることをご理解頂けると幸いです。掲載内容はあくまで個人の意見であり、ゼットスケーラーの立場、戦略、意見を代表するものではありません。当該情報に基づいて被ったいかなる損害について、一切責任を負うものではございませんのであらかじめご了承ください。
NSSとは
Nanologストリーミングサービス(NSS)は、仮想マシン(VM)を使用して、Zscaler NanologからSplunkやArcSightなどのセキュリティ情報およびイベント管理(SIEM)システムにトラフィックログをリアルタイムでストリームし、リアルタイムのアラートや他のデバイスのログとの相関、ローカルの長期ログアーカイブを可能にします。
次の図に示すように、Webとファイアウォールのログは、ZscalerクラウドのNanologに保存されます。組織は、ESX仮想マシン上のオンプレミス、AWS上のEC2インスタンス、またはAzure上の仮想マシンとして、NSSインスタンスを展開できます。組織が1つのNSSをWeb用に展開し、もう1つのNSSをファイアウォール ログ用に展開すると、各NSSはZscalerクラウド内のNanologへの安全なトンネルを開きます。Nanologは、帯域幅のフットプリントを削減するために、ログのコピーを高度に圧縮された形式で各NSSにストリーミングします。元のログはナノログに保持されます。
NSSはNanologからログを受信すると、それを解凍してトークンを解除し、設定したフィルターを適用して不要なログを除外し、フィルターを適用したログを設定した出力形式に変換してSIEMで消費および解析できるようにし、生のTCP接続を介してSIEMにログをストリーミングします。
また、次の図に示すように、NSSの監視のために、NSSのAlert用の別のフィードを設定することが可能です。この設定により、NSSとWebLogを受信するSIEM間の接続問題などを検知して監視用SIEMにAlertを送信することが可能です。
このAlertサービスは、RFC 3164 BSD syslogプロトコル形式のアラートを、指定されたIPアドレスとポートに送信します。次の表に、各レベルに対して送信されるアラートを示します。
Alert用NSSフィードの追加
本記事では、Alert用NSSフィードの追加手順を紹介します。
Step1.Alert用NSSフィードの作成
Log Typeで[Alert]を設定します。
Step2.Splunk側で受信設定を追加する
ここでは、SIEMサーバとしてSplunkを使用します。Setting > Data Input > TCP において、受信ポート番号をNSSFeedで追加したパラメータと同一の値に設定します。
Step3.確認
NSSとWebLog用のSIEMとのネットワーク断を発生させると、以下のようにAlertが確認できます。
まとめ
NSSのAlertログをSIEMに送信させる設定を紹介しました。Zscaler側の設定は簡単なのですが、Splunkの設定の方で少し悩みました。NSSの導入時に参考にしてください。