Integración de Zscaler ZIA
Puede integrar Zscaler ZIA (Zscaler Internet Access) con Sophos Central para que envíe alertas a Sophos para analizarlas.
Esta página presenta una visión general de la integración.
Resumen del producto de Zscaler ZIA
Zscaler ZIA es una plataforma de perímetro de servicio de seguridad (SSE). ZIA supervisa la nube y proporciona una ubicación central para las actualizaciones de software y base de datos, los ajustes de políticas y de configuración, y la información sobre amenazas.
Documentos de Sophos
Datos que ingerimos
Ejemplos de alertas que vemos:
Reputation block outbound request: malicious URL
Reputation block outbound request: phishing site
Not allowed non-RFC compliant HTTP traffic
Not allowed to upload/download encrypted or password-protected archive files
IPS block outbound request: cross-site scripting (XSS) attack
Remote Backup Failed
IPS block: cryptomining & blockchain traffic
RDP Allow
Malware block: malicious file
Sandbox block inbound response: malicious file
También ingerimos muchas otras.
Alertas ingeridas en su totalidad
Le recomendamos que configure las siguientes categorías en NSS (Nanolog Streaming Service):
- Registros de firewall de Zscaler ZIA
- Registros web de Zscaler ZIA
- Registros DNS de Zscaler ZIA
Filtrado
Filtramos las alertas de la siguiente manera.
En el recopilador de registros
En el recopilador de registros, filtramos:
- Datos formateados incorrectamente (CEF)
- Registros de gran volumen y escaso interés, por ejemplo, los registros de tráfico permitido
En la plataforma
En la plataforma, filtramos una serie de registros de gran volumen que no son interesantes como eventos de seguridad, entre los que se incluyen los siguientes:
- Registros de acceso a políticas, por ejemplo, acceso a redes sociales
- Conexiones permitidas por defecto dentro de las políticas estándar de firewall
- Elementos triviales de gran volumen, por ejemplo, registros de protocolo de enlace SSL
Muestra de asignaciones de amenazas
Los tipos de alerta son definidos por el campo name
en el encabezado CEF
.
{"alertType": "Reputation block outbound request: malicious URL","threatId": "T1598.003","threatName": "Spearphishing Link",}
{"alertType": "Remote Backup Failed", "threatId": "T1020","threatName": "Automated Exfiltration",},
{"alertType": "Reputation block outbound request: malicious URL","threatId": "T1598.003","threatName": "Spearphishing Link",}
{"alertType": "IPS block: cryptomining & blockchain traffic","threatId": "T1496","threatName": "Resource Hijacking",}
{"alertType": "Reputation block outbound request: phishing site","threatId": "T1566","threatName": "Phishing",}
{"alertType": "RDP Allow","threatId": "T1021.001","threatName": "Remote Desktop Protocol",}
{"alertType": "IPS block outbound request: cross-site scripting (XSS) attack","threatId": "T1189","threatName": "Drive-by Compromise",}
{"alertType": "Malware block: malicious file","threatId": "T1204.002","threatName": "Malicious File",}
{"alertType": "Sandbox block inbound response: malicious file","threatId": "T1204.002","threatName": "Malicious File",}
{"alertType": "Not allowed non-RFC compliant HTTP traffic","threatId": "T1071","threatName": "Application Layer Protocol",}
{"alertType": "Not allowed to upload/download encrypted or password-protected archive files","threatId": "T1027","threatName": "Obfuscated Files or Information",}