Zscaler ZIA-Integration
Sie können Zscaler ZIA (Zscaler Internet Access) in Sophos Central integrieren, sodass Warnmeldungen zur Analyse an Sophos gesendet werden.
Auf dieser Seite erhalten Sie einen Überblick über die Integration.
Produktübersicht zu Zscaler ZIA
Zscaler ZIA ist eine SSE-Plattform (Security Service Edge). ZIA überwacht die Cloud und bietet einen zentralen Speicherort für Software- und Datenbankupdates, Richtlinien- und Konfigurationseinstellungen, sowie Bedrohungsinformationen.
Sophos-Dokumente
Was wir erfassen
Beispiele für Alarme:
Reputation block outbound request: malicious URL
Reputation block outbound request: phishing site
Not allowed non-RFC compliant HTTP traffic
Not allowed to upload/download encrypted or password-protected archive files
IPS block outbound request: cross-site scripting (XSS) attack
Remote Backup Failed
IPS block: cryptomining & blockchain traffic
RDP Allow
Malware block: malicious file
Sandbox block inbound response: malicious file
Wir erfassen auch viele andere.
Alarme werden vollständig erfasst
Wir empfehlen Ihnen, die folgenden Kategorien in NSS (Nanolog Streaming Service) zu konfigurieren:
- Protokolle der Zscaler ZIA Firewall
- Zscaler ZIA Weblogs
- Zscaler ZIA DNS-Protokolle
Filterung
Alarme werden wie folgt gefiltert.
Im Protokollsammler
Im Protokollsammler filtern wir nach:
- Falsch formatierten Daten (CEF)
- Umfangreichen Protokollen von geringem Interesse, zum Beispiel Protokolle zu zugelassenem Datenverkehr
Auf der Plattform
Auf der Plattform filtern wir eine Reihe von umfangreichen Protokollen, die nicht als Sicherheitsereignisse interessant sind, darunter:
- Richtlinienzugriffsprotokolle, zum Beispiel Zugriff auf soziale Medien
- Standardmäßig zulässige Verbindungen innerhalb von Standard-Firewall-Richtlinien
- Umfassende triviale Elemente, zum Beispiel SSL-Handshake-Protokolle
Beispiele für Bedrohungszuordnungen
Warnmeldungstypen werden durch das Feld name
in der Kopfzeile CEF
definiert.
{"alertType": "Reputation block outbound request: malicious URL","threatId": "T1598.003","threatName": "Spearphishing Link",}
{"alertType": "Remote Backup Failed", "threatId": "T1020","threatName": "Automated Exfiltration",},
{"alertType": "Reputation block outbound request: malicious URL","threatId": "T1598.003","threatName": "Spearphishing Link",}
{"alertType": "IPS block: cryptomining & blockchain traffic","threatId": "T1496","threatName": "Resource Hijacking",}
{"alertType": "Reputation block outbound request: phishing site","threatId": "T1566","threatName": "Phishing",}
{"alertType": "RDP Allow","threatId": "T1021.001","threatName": "Remote Desktop Protocol",}
{"alertType": "IPS block outbound request: cross-site scripting (XSS) attack","threatId": "T1189","threatName": "Drive-by Compromise",}
{"alertType": "Malware block: malicious file","threatId": "T1204.002","threatName": "Malicious File",}
{"alertType": "Sandbox block inbound response: malicious file","threatId": "T1204.002","threatName": "Malicious File",}
{"alertType": "Not allowed non-RFC compliant HTTP traffic","threatId": "T1071","threatName": "Application Layer Protocol",}
{"alertType": "Not allowed to upload/download encrypted or password-protected archive files","threatId": "T1027","threatName": "Obfuscated Files or Information",}