Zscaler Zia の統合
Zscaler ZIA (Zscaler Internet Access) を Sophos Central と統合して、解析のためにソフォスに警告を送信することができます。
このページでは、統合の概要を説明します。
Zscaler Zia 製品の概要
Zscaler Zia は SSE(Security Service Edge) プラットフォームです。ZIA はクラウドを監視し、ソフトウェアとデータベースの更新、ポリシーと構成の設定、および脅威インテリジェンスを一元的に管理します。
ソフォス製品ドキュメント
取り込まれる内容
表示される警告の例:
Reputation block outbound request: malicious URL
Reputation block outbound request: phishing site
Not allowed non-RFC compliant HTTP traffic
Not allowed to upload/download encrypted or password-protected archive files
IPS block outbound request: cross-site scripting (XSS) attack
Remote Backup Failed
IPS block: cryptomining & blockchain traffic
RDP Allow
Malware block: malicious file
Sandbox block inbound response: malicious file
他の多くの内容も取り込まれます。
完全に取り込まれる警告
NSS (Nanolog Streaming Service) では、次のカテゴリを設定することをお勧めします。
- Zscaler Zia ファイアウォールログ
- Zscaler ZIA の Web ログ
- Zscaler Zia DNS ログ
フィルタリング
警告は次のようにフィルタリングされます。
ログコレクタにおいて
ログコレクタでは、次の項目をフィルタリングします。
- 不正にフォーマットされたデータ (CEF)
- 大量の関心度の低い内容のログ (許可されたトラフィックのログなど)
プラットホームにおいて
このプラットフォームでは、セキュリティイベントとして関心度の低い内容の大量のログをフィルタリングします。たとえば、次のようなログがあります。
- ポリシー アクセスログ (ソーシャルメディアアクセスなど)
- 標準ファイアウォールポリシー内で許可されるデフォルトの接続
- 大量の些細な項目 (SSL ハンドシェイクログなど)
脅威マッピングの例
警告の種類は CEF
ヘッダーの name
フィールドによって定義されます。
{"alertType": "Reputation block outbound request: malicious URL","threatId": "T1598.003","threatName": "Spearphishing Link",}
{"alertType": "Remote Backup Failed", "threatId": "T1020","threatName": "Automated Exfiltration",},
{"alertType": "Reputation block outbound request: malicious URL","threatId": "T1598.003","threatName": "Spearphishing Link",}
{"alertType": "IPS block: cryptomining & blockchain traffic","threatId": "T1496","threatName": "Resource Hijacking",}
{"alertType": "Reputation block outbound request: phishing site","threatId": "T1566","threatName": "Phishing",}
{"alertType": "RDP Allow","threatId": "T1021.001","threatName": "Remote Desktop Protocol",}
{"alertType": "IPS block outbound request: cross-site scripting (XSS) attack","threatId": "T1189","threatName": "Drive-by Compromise",}
{"alertType": "Malware block: malicious file","threatId": "T1204.002","threatName": "Malicious File",}
{"alertType": "Sandbox block inbound response: malicious file","threatId": "T1204.002","threatName": "Malicious File",}
{"alertType": "Not allowed non-RFC compliant HTTP traffic","threatId": "T1071","threatName": "Application Layer Protocol",}
{"alertType": "Not allowed to upload/download encrypted or password-protected archive files","threatId": "T1027","threatName": "Obfuscated Files or Information",}