コンテンツにスキップ
MDR のサポート提供の詳細をご確認ください。

Zscaler Zia の統合

Zscaler ZIA (Zscaler Internet Access) を Sophos Central と統合して、解析のためにソフォスに警告を送信することができます。

このページでは、統合の概要を説明します。

Zscaler Zia 製品の概要

Zscaler Zia は SSE(Security Service Edge) プラットフォームです。ZIA はクラウドを監視し、ソフトウェアとデータベースの更新、ポリシーと構成の設定、および脅威インテリジェンスを一元的に管理します。

ソフォス製品ドキュメント

Zscaler ZIA の統合

取り込まれる内容

表示される警告の例:

  • Reputation block outbound request: malicious URL
  • Reputation block outbound request: phishing site
  • Not allowed non-RFC compliant HTTP traffic
  • Not allowed to upload/download encrypted or password-protected archive files
  • IPS block outbound request: cross-site scripting (XSS) attack
  • Remote Backup Failed
  • IPS block: cryptomining & blockchain traffic
  • RDP Allow
  • Malware block: malicious file
  • Sandbox block inbound response: malicious file

他の多くの内容も取り込まれます。

完全に取り込まれる警告

NSS (Nanolog Streaming Service) では、次のカテゴリを設定することをお勧めします。

  • Zscaler Zia ファイアウォールログ
  • Zscaler ZIA の Web ログ
  • Zscaler Zia DNS ログ

フィルタリング

警告は次のようにフィルタリングされます。

ログコレクタにおいて

ログコレクタでは、次の項目をフィルタリングします。

  • 不正にフォーマットされたデータ (CEF)
  • 大量の関心度の低い内容のログ (許可されたトラフィックのログなど)

プラットホームにおいて

このプラットフォームでは、セキュリティイベントとして関心度の低い内容の大量のログをフィルタリングします。たとえば、次のようなログがあります。

  • ポリシー アクセスログ (ソーシャルメディアアクセスなど)
  • 標準ファイアウォールポリシー内で許可されるデフォルトの接続
  • 大量の些細な項目 (SSL ハンドシェイクログなど)

脅威マッピングの例

警告の種類は CEF ヘッダーの name フィールドによって定義されます。

{"alertType": "Reputation block outbound request: malicious URL","threatId": "T1598.003","threatName": "Spearphishing Link",}
{"alertType": "Remote Backup Failed", "threatId": "T1020","threatName": "Automated Exfiltration",},
{"alertType": "Reputation block outbound request: malicious URL","threatId": "T1598.003","threatName": "Spearphishing Link",}
{"alertType": "IPS block: cryptomining & blockchain traffic","threatId": "T1496","threatName": "Resource Hijacking",}
{"alertType": "Reputation block outbound request: phishing site","threatId": "T1566","threatName": "Phishing",}
{"alertType": "RDP Allow","threatId": "T1021.001","threatName": "Remote Desktop Protocol",}
{"alertType": "IPS block outbound request: cross-site scripting (XSS) attack","threatId": "T1189","threatName": "Drive-by Compromise",}
{"alertType": "Malware block: malicious file","threatId": "T1204.002","threatName": "Malicious File",}
{"alertType": "Sandbox block inbound response: malicious file","threatId": "T1204.002","threatName": "Malicious File",}
{"alertType": "Not allowed non-RFC compliant HTTP traffic","threatId": "T1071","threatName": "Application Layer Protocol",}
{"alertType": "Not allowed to upload/download encrypted or password-protected archive files","threatId": "T1027","threatName": "Obfuscated Files or Information",}

ベンダーのドキュメント