Aryaka 통합 개요
Aryaka를 Sophos Central 과 통합하면 Sophos 로 알림을 보내 분석할 수 있습니다.
이 페이지에서는 통합에 대한 개요를 제공합니다.
Aryaka 제품 개요
Aryaka는 광역 소프트웨어 정의 네트워킹 연결, 애플리케이션 제공 및 네트워크 보안을 포함하는 통합 SASE 서비스(Unified SASE as a Service)를 제공합니다.
Sophos 문서
수집되는 것
Sophos에서 볼 수 있는 샘플 경고:
ET DNS Query for TLD-CODE TLDET INFO Session Traversal Utilities for NAT (STUN Binding Response)ETPRO SCAN IPMI Get Authentication Request (DETAILS)
필터링
저희는 다음과 같이 메시지를 필터링합니다.
플랫폼 필터 및 로그 수집기:
- 저희는 JSON 형식의 모든 유효한 알림을 허용합니다.
- 메시지 양이 매우 많기 때문에
""message":"Aryaka Pre-SSL Flow Logs""또는""message":"Aryaka Post-SSL Flow Logs""라는 텍스트 문자열이 포함된 알림은 삭제합니다.
샘플 위협 매핑
우리는 fields.alert.signature 필드 필드들을 통해 경고 유형을 정의합니다. 흐름 로그의 경우 fields.message를 사용할 수도 있습니다.
샘플 매핑:
{"alertType": "ET DNS Query for TLD-CODE TLD", "threatId": "T1071.004", "threatName": "Application Layer Protocol: DNS"}
{"alertType": "ET INFO Session Traversal Utilities for NAT (STUN Binding Response)", "threatId": "T1599.001", "threatName": "Network Boundary Bridging: Network Address Translation Traversal"}
{"alertType": "ETPRO SCAN IPMI Get Authentication Request (DETAILS)", "threatId": "T1046", "threatName": "Network Service Scanning"}