Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Zscaler ZIA-Integration

Sie können Zscaler ZIA (Zscaler Internet Access) in Sophos Central integrieren, sodass Warnmeldungen zur Analyse an Sophos gesendet werden.

Auf dieser Seite erhalten Sie einen Überblick über die Integration.

Produktübersicht zu Zscaler ZIA

Zscaler ZIA ist eine SSE-Plattform (Security Service Edge). ZIA überwacht die Cloud und bietet einen zentralen Speicherort für Software- und Datenbankupdates, Richtlinien- und Konfigurationseinstellungen, sowie Bedrohungsinformationen.

Sophos-Dokumente

Zscaler ZIA integrieren

Was wir erfassen

Beispiele für Alarme:

  • Reputation block outbound request: malicious URL
  • Reputation block outbound request: phishing site
  • Not allowed non-RFC compliant HTTP traffic
  • Not allowed to upload/download encrypted or password-protected archive files
  • IPS block outbound request: cross-site scripting (XSS) attack
  • Remote Backup Failed
  • IPS block: cryptomining & blockchain traffic
  • RDP Allow
  • Malware block: malicious file
  • Sandbox block inbound response: malicious file

Wir erfassen auch viele andere.

Alarme werden vollständig erfasst

Wir empfehlen Ihnen, die folgenden Kategorien in NSS (Nanolog Streaming Service) zu konfigurieren:

  • Protokolle der Zscaler ZIA Firewall
  • Zscaler ZIA Weblogs
  • Zscaler ZIA DNS-Protokolle

Filterung

Alarme werden wie folgt gefiltert.

Im Protokollsammler

Im Protokollsammler filtern wir nach:

  • Falsch formatierten Daten (CEF)
  • Umfangreichen Protokollen von geringem Interesse, zum Beispiel Protokolle zu zugelassenem Datenverkehr

Auf der Plattform

Auf der Plattform filtern wir eine Reihe von umfangreichen Protokollen, die nicht als Sicherheitsereignisse interessant sind, darunter:

  • Richtlinienzugriffsprotokolle, zum Beispiel Zugriff auf soziale Medien
  • Standardmäßig zulässige Verbindungen innerhalb von Standard-Firewall-Richtlinien
  • Umfassende triviale Elemente, zum Beispiel SSL-Handshake-Protokolle

Beispiele für Bedrohungszuordnungen

Warnmeldungstypen werden durch das Feld name in der Kopfzeile CEF definiert.

{"alertType": "Reputation block outbound request: malicious URL","threatId": "T1598.003","threatName": "Spearphishing Link",}
{"alertType": "Remote Backup Failed", "threatId": "T1020","threatName": "Automated Exfiltration",},
{"alertType": "Reputation block outbound request: malicious URL","threatId": "T1598.003","threatName": "Spearphishing Link",}
{"alertType": "IPS block: cryptomining & blockchain traffic","threatId": "T1496","threatName": "Resource Hijacking",}
{"alertType": "Reputation block outbound request: phishing site","threatId": "T1566","threatName": "Phishing",}
{"alertType": "RDP Allow","threatId": "T1021.001","threatName": "Remote Desktop Protocol",}
{"alertType": "IPS block outbound request: cross-site scripting (XSS) attack","threatId": "T1189","threatName": "Drive-by Compromise",}
{"alertType": "Malware block: malicious file","threatId": "T1204.002","threatName": "Malicious File",}
{"alertType": "Sandbox block inbound response: malicious file","threatId": "T1204.002","threatName": "Malicious File",}
{"alertType": "Not allowed non-RFC compliant HTTP traffic","threatId": "T1071","threatName": "Application Layer Protocol",}
{"alertType": "Not allowed to upload/download encrypted or password-protected archive files","threatId": "T1027","threatName": "Obfuscated Files or Information",}

Herstellerdokumentation