Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=Zscaler

Integrazione Zscaler ZIA

Agente di raccolta log Rete

Zscaler ZIA (Zscaler Internet Access) può essere integrato con Sophos Central per l’invio di avvisi a Sophos, a scopo di analisi.

Questa pagina fornisce una panoramica dell’integrazione.

Panoramica del prodotto Zscaler ZIA

Zscaler ZIA è una piattaforma SSE (Security Service Edge). ZIA monitora il cloud e offre una posizione centrale da cui puoi accedere agli aggiornamenti dei software e dei database, alle impostazioni dei criteri e di configurazione, nonché ai dati di intelligence sulle minacce.

Documenti Sophos

Integrazione di Zscaler ZIA

I dati raccolti e inseriti

Esempi di avvisi che visualizziamo:

  • Reputation block outbound request: malicious URL
  • Reputation block outbound request: phishing site
  • Not allowed non-RFC compliant HTTP traffic
  • Not allowed to upload/download encrypted or password-protected archive files
  • IPS block outbound request: cross-site scripting (XSS) attack
  • Remote Backup Failed
  • IPS block: cryptomining & blockchain traffic
  • RDP Allow
  • Malware block: malicious file
  • Sandbox block inbound response: malicious file

Ne inseriamo molti altri.

Avvisi inseriti per intero

Si consiglia di configurare le seguenti categorie in NSS (Nanolog Streaming Service):

  • Log firewall di Zscaler ZIA
  • Log web di Zscaler ZIA
  • Log DNS di Zscaler ZIA

Filtraggio

Filtriamo gli avvisi nel modo indicato di seguito.

Nell’agente di raccolta log

Nell’agente di raccolta log, filtriamo in base a:

  • Dati con formato errato (CEF)
  • Log con volume elevato e basso livello di interesse, ad esempio log sul traffico autorizzato

Nella piattaforma

Nella piattaforma, filtriamo una serie di log con volume elevato che non sono altrettanto interessanti quanto gli eventi di sicurezza, tra cui:

  • Log di accesso ai criteri, ad esempio accesso ai social media
  • Connessioni autorizzate predefinite in criteri standard del firewall
  • Volumi elevati di elementi irrilevanti, ad esempio log di handshake SSL

Esempi di mapping delle minacce

I tipi di avviso vengono definiti dal campo name nell’intestazione CEF.

{"alertType": "Reputation block outbound request: malicious URL","threatId": "T1598.003","threatName": "Spearphishing Link",}
{"alertType": "Remote Backup Failed", "threatId": "T1020","threatName": "Automated Exfiltration",},
{"alertType": "Reputation block outbound request: malicious URL","threatId": "T1598.003","threatName": "Spearphishing Link",}
{"alertType": "IPS block: cryptomining & blockchain traffic","threatId": "T1496","threatName": "Resource Hijacking",}
{"alertType": "Reputation block outbound request: phishing site","threatId": "T1566","threatName": "Phishing",}
{"alertType": "RDP Allow","threatId": "T1021.001","threatName": "Remote Desktop Protocol",}
{"alertType": "IPS block outbound request: cross-site scripting (XSS) attack","threatId": "T1189","threatName": "Drive-by Compromise",}
{"alertType": "Malware block: malicious file","threatId": "T1204.002","threatName": "Malicious File",}
{"alertType": "Sandbox block inbound response: malicious file","threatId": "T1204.002","threatName": "Malicious File",}
{"alertType": "Not allowed non-RFC compliant HTTP traffic","threatId": "T1071","threatName": "Application Layer Protocol",}
{"alertType": "Not allowed to upload/download encrypted or password-protected archive files","threatId": "T1027","threatName": "Obfuscated Files or Information",}

Documentazione del vendor