Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Integración de Zscaler ZIA

Puede integrar Zscaler ZIA (Zscaler Internet Access) con Sophos Central para que envíe alertas a Sophos para analizarlas.

Esta página presenta una visión general de la integración.

Resumen del producto de Zscaler ZIA

Zscaler ZIA es una plataforma de perímetro de servicio de seguridad (SSE). ZIA supervisa la nube y proporciona una ubicación central para las actualizaciones de software y base de datos, los ajustes de políticas y de configuración, y la información sobre amenazas.

Documentos de Sophos

Integrar Zscaler ZIA

Datos que ingerimos

Ejemplos de alertas que vemos:

  • Reputation block outbound request: malicious URL
  • Reputation block outbound request: phishing site
  • Not allowed non-RFC compliant HTTP traffic
  • Not allowed to upload/download encrypted or password-protected archive files
  • IPS block outbound request: cross-site scripting (XSS) attack
  • Remote Backup Failed
  • IPS block: cryptomining & blockchain traffic
  • RDP Allow
  • Malware block: malicious file
  • Sandbox block inbound response: malicious file

También ingerimos muchas otras.

Alertas ingeridas en su totalidad

Le recomendamos que configure las siguientes categorías en NSS (Nanolog Streaming Service):

  • Registros de firewall de Zscaler ZIA
  • Registros web de Zscaler ZIA
  • Registros DNS de Zscaler ZIA

Filtrado

Filtramos las alertas de la siguiente manera.

En el recopilador de registros

En el recopilador de registros, filtramos:

  • Datos formateados incorrectamente (CEF)
  • Registros de gran volumen y escaso interés, por ejemplo, los registros de tráfico permitido

En la plataforma

En la plataforma, filtramos una serie de registros de gran volumen que no son interesantes como eventos de seguridad, entre los que se incluyen los siguientes:

  • Registros de acceso a políticas, por ejemplo, acceso a redes sociales
  • Conexiones permitidas por defecto dentro de las políticas estándar de firewall
  • Elementos triviales de gran volumen, por ejemplo, registros de protocolo de enlace SSL

Muestra de asignaciones de amenazas

Los tipos de alerta son definidos por el campo name en el encabezado CEF.

{"alertType": "Reputation block outbound request: malicious URL","threatId": "T1598.003","threatName": "Spearphishing Link",}
{"alertType": "Remote Backup Failed", "threatId": "T1020","threatName": "Automated Exfiltration",},
{"alertType": "Reputation block outbound request: malicious URL","threatId": "T1598.003","threatName": "Spearphishing Link",}
{"alertType": "IPS block: cryptomining & blockchain traffic","threatId": "T1496","threatName": "Resource Hijacking",}
{"alertType": "Reputation block outbound request: phishing site","threatId": "T1566","threatName": "Phishing",}
{"alertType": "RDP Allow","threatId": "T1021.001","threatName": "Remote Desktop Protocol",}
{"alertType": "IPS block outbound request: cross-site scripting (XSS) attack","threatId": "T1189","threatName": "Drive-by Compromise",}
{"alertType": "Malware block: malicious file","threatId": "T1204.002","threatName": "Malicious File",}
{"alertType": "Sandbox block inbound response: malicious file","threatId": "T1204.002","threatName": "Malicious File",}
{"alertType": "Not allowed non-RFC compliant HTTP traffic","threatId": "T1071","threatName": "Application Layer Protocol",}
{"alertType": "Not allowed to upload/download encrypted or password-protected archive files","threatId": "T1027","threatName": "Obfuscated Files or Information",}

Documentación del proveedor