コンテンツにスキップ
MDR のサポート提供の詳細をご確認ください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=Zscaler

Zscaler Zia の統合

Zscaler ZIA (Zscaler Internet Access) を Sophos Central と統合して、解析のためにソフォスに警告を送信することができます。

このページでは、統合の概要を説明します。

Zscaler Zia 製品の概要

Zscaler Zia は SSE(Security Service Edge) プラットフォームです。ZIA はクラウドを監視し、ソフトウェアとデータベースの更新、ポリシーと構成の設定、および脅威インテリジェンスを一元的に管理します。

ソフォス製品ドキュメント

Zscaler ZIA の統合

取り込まれる内容

表示される警告の例:

  • レピュテーションブロック送信要求: 悪意のある URL
  • レピュテーションブロックの送信リクエスト: フィッシングサイト
  • RFC 非準拠の HTTP トラフィックは許可されません
  • 暗号化された圧縮ファイルやパスワード保護された圧縮ファイルのアップロード/ダウンロードは許可されていません
  • IPS 送信要求をブロック:クロスサイトスクリプティング (XSS) 攻撃
  • リモートバックアップに失敗しました
  • IPS block: cryptomining & blockchain traffic
  • RDP 許可
  • マルウェアブロック: 悪意のあるファイル
  • サンドボックスブロック受信応答: 悪意のあるファイル

他の多くの内容も取り込まれます。

完全に取り込まれる警告

NSS (Nanolog Streaming Service) では、次のカテゴリを設定することをお勧めします。

  • Zscaler Zia ファイアウォールログ
  • Zscaler ZIA の Web ログ
  • Zscaler Zia DNS ログ

フィルタリング

警告は次のようにフィルタリングされます。

ログコレクタにおいて

ログコレクタでは、次の項目をフィルタリングします。

  • 不正にフォーマットされたデータ (CEF)
  • 大量の関心度の低い内容のログ (許可されたトラフィックのログなど)

プラットホームにおいて

このプラットフォームでは、セキュリティイベントとして関心度の低い内容の大量のログをフィルタリングします。たとえば、次のようなログがあります。

  • ポリシー アクセスログ (ソーシャルメディアアクセスなど)
  • 標準ファイアウォールポリシー内で許可されるデフォルトの接続
  • 大量の些細な項目 (SSL ハンドシェイクログなど)

脅威マッピングの例

警告の種類は、CEF ヘッダーの name フィールドによって定義されます。

{"alertType":"Reputation block outbound request: malicious URL","threatId":"T1598.003","threatName":"Spearphishing Link",}
{"alertType":"Remote Backup Failed", "threatId":"T1020","threatName":"Automated Exfiltration",},
{"alertType":"Reputation block outbound request: malicious URL","threatId":"T1598.003","threatName":"Spearphishing Link",}
{"alertType":"IPS block: cryptomining & blockchain traffic","threatId":"T1496","threatName":"Resource Hijacking",}
{"alertType":"Reputation block outbound request: phishing site","threatId":"T1566","threatName":"Phishing",}
{"alertType":"RDP Allow","threatId":"T1021.001","threatName":"Remote Desktop Protocol",}
{"alertType":"IPS block outbound request: cross-site scripting (XSS) attack","threatId":"T1189","threatName":"Drive-by Compromise",}
{"alertType":"Malware block: malicious file","threatId":"T1204.002","threatName":"Malicious File",}
{"alertType":"Sandbox block inbound response: malicious file","threatId":"T1204.002","threatName":"Malicious File",}
{"alertType":"Not allowed non-RFC compliant HTTP traffic","threatId":"T1071","threatName":"Application Layer Protocol",}
{"alertType":"Not allowed to upload/download encrypted or password-protected archive files","threatId":"T1027","threatName":"Obfuscated Files or Information",}

ベンダーのドキュメント