주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.
MDR을 지원하는 방법에 대해 알아보십시오.

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=zscalerzia

지스케일러 ZIA를 통합합니다.

로그 수집기 네트워크

이 기능을 사용하려면 "Network" 통합 라이선스 팩이 있어야 합니다.

Zscaler ZIA를 Sophos Central과 통합하여 Sophos로 경고를 보낼 수 있습니다.

이 통합에서는 가상 컴퓨터(VM)에서 호스팅되는 로그 수집기를 사용합니다. 이들을 모두 통합 어플라이언스라고 합니다. 어플라이언스는 타사 데이터를 수신하여 Sophos 데이터 레이크로 전송합니다.

이 페이지에서는 ESXi 또는 Hyper-V에서 어플라이언스를 사용한 통합에 대해 설명합니다. AWS에서 어플라이언스를 사용하여 통합하려면 AWS에 통합 추가을(를) 참조하십시오.

주요 단계

통합 주요 단계는 다음과 같습니다.

  • Sophos Central에서 통합을 추가합니다. 이 단계에서 어플라이언스의 이미지를 생성합니다.
  • VM에서 이미지를 다운로드하고 배포합니다. 이것이 어플라이언스가 됩니다.
  • 데이터를 어플라이언스로 보내도록 Zscaler ZIA를 구성합니다.

요구 사항

어플라이언스에는 시스템 및 네트워크 액세스 요구 사항이 있습니다. 이러한 요구 사항을 충족하는지 확인하려면 어플라이언스 요구 사항를 참조하십시오.

통합 추가

통합을 추가하려면 다음과 같이 하십시오.

  1. Sophos Central에서 위협 분석 센터 > 통합 > 마켓플레이스로 이동합니다.

  2. 클릭하십시오 Zscaler ZIA.

    Zscaler ZIA 페이지가 열립니다. 여기에서 통합을 구성하고 이미 추가한 목록을 볼 수 있습니다.

  3. 데이터 수집(보안 경고)에서 구성 추가를 클릭합니다.

    참고

    이 통합이 처음 추가한 통합인 경우 내부 도메인 및 IP에 대한 세부 정보를 요청할 수 있습니다. 도메인 및 IP 세부 정보 입력을 참조하십시오.

    통합 설정 단계가 나타납니다.

어플라이언스 구성

통합 설정 단계에서 새 어플라이언스를 구성하거나 기존 어플라이언스를 사용할 수 있습니다.

여기에서는 새 어플라이언스를 구성한다고 가정합니다. 이렇게 하려면 다음과 같이 이미지를 생성합니다.

  1. 통합의 이름 및 설명을 입력합니다.
  2. 새 어플라이언스 만들기를 클릭합니다.
  3. 어플라이언스의 이름 및 설명을 입력합니다.
  4. 가상 플랫폼을 선택합니다. 현재 VMware ESXi 6.7 Update 3 이상 및 Microsoft Hyper-V 6.0.6001.18016(Windows Server 2016) 이상을 지원합니다.

  5. 인터넷 연결 네트워크 포트의 IP 설정을 지정합니다. 그러면 어플라이언스에 대한 관리 인터페이스가 설정됩니다.

    • IP 주소를 자동으로 할당하려면 DHCP를 선택합니다.

      참고

      DHCP를 선택하는 경우 IP 주소를 예약해야 합니다.

    • 네트워크 설정을 지정하려면 수동을 선택합니다.

  6. Syslog IP 버전을 선택하고 Syslog IP 주소를 입력합니다.

    나중에 어플라이언스로 데이터를 전송하도록 Zscaler ZIA를 구성할 때 이 syslog IP 주소가 필요합니다.

  7. 프로토콜에서 TCP을(를) 선택하세요.

    Zscaler ZIA를 구성하여 데이터를 어플라이언스로 전송하는 경우 동일한 프로토콜을 사용해야 합니다.

  8. 저장을 클릭합니다.

    통합이 만들어지고 목록에 나타납니다.

    통합 세부 정보에 어플라이언스의 포트 번호가 표시됩니다. 포트 번호는 나중에 데이터를 전송하도록 Zscaler ZIA를 구성할 때 필요합니다.

    어플라이언스 이미지를 준비하는 데 몇 분 정도 걸릴 수 있습니다.

어플라이언스 배포

제한

ESXi를 사용하는 경우, OVA 파일은 Sophos Central로 확인되므로 한 번만 사용할 수 있습니다. 다른 VM을 배포해야 하는 경우 Sophos Central에서 OVA 파일을 다시 만들어야 합니다.

다음과 같이 이미지를 사용하여 어플라이언스를 배포합니다.

  1. 통합 목록의 작업에서 해당 플랫폼에 대한 다운로드 작업(예: ESXi용 OVA 다운로드)을 클릭합니다.
  2. 이미지 다운로드가 완료되면 VM에 배포하십시오. 어플라이언스 배포을 참조하십시오.

Zscaler ZIA 구성

데이터를 어플라이언스로 보내도록 Zscaler ZIA를 구성합니다. 이에는 다음 주요 단계가 포함됩니다:

  • 네이노로그 스트리밍 서비스(NSS) 서버를 구성하세요.
  • 방화벽 로그를 전송하세요.
  • 웹 로그를 전송하십시오.
  • 포워드 DNS 로그.

참고

동일한 어플라이언스를 통해 Sophos로 데이터를 전송하도록 Zscaler ZIA 의 여러 인스턴스를 구성할 수 있습니다. 통합을 마친 후 Zscaler ZIA의 다른 인스턴스에 대해 이 섹션의 단계를 반복합니다. Sophos Central에서 단계를 반복할 필요가 없습니다.

NSS 서버 구성

NSS 서버를 구성하고 배포합니다.

Web 및 방화벽용 NSS의 인스턴스를 모두 배포하는 것을 권장합니다. 이를 통해 모든 관련 경보 유형을 포착할 수 있습니다. 대부분의 경우, 온프레미스 환경에 배포하여 해당 환경에서 Sophos 로그 수집기로 syslog를 전달할 수 있습니다.

  1. Zscaler NSS 웹 관리 인터페이스에 관리자 권한으로 로그인하십시오.
  2. 클릭 관리 > 설정 > 네트워크 로깅 스트리밍 서비스.
  3. NSS 장치 크기를 조정하려면 단계를 따르십시오. 보려는 내용: 알아야 할 사항 NSS.
  4. 클릭 NSS 서버 추가.
  5. 이를 NSS 서버로 식별하는 이름을 입력하여 Sophos에 이벤트를 스트리밍합니다.

  6. In Type, 선택란에서 Web용 NSS 또는 방화벽용 NSS를 선택하세요.

    우리는 각각 하나씩 배포하는 것을 권장합니다.

  7. 상태활성화로 설정합니다.

  8. 저장을 클릭합니다.
  9. 이미지를 다운로드하고 VMware 또는 AWS와 같은 플랫폼에 배포하세요.

더 많은 세부 정보를 보려면 네이노로그 스트리밍 서비스 (NSS) 이해하기를 참조하십시오.

특정 배포 가이드를 보려면 Nanolog Streaming Service를 참조하십시오.

다음으로, 원하는 각 로그 유형을 전달하도록 NSS를 구성합니다.

방화벽 로그를 전달

Zscaler NSS를 다음과 같이 방화벽 로그를 보내도록 구성하십시오:

  1. 관리자 권한으로 Zscaler NSS 웹 관리 인터페이스에 로그인하십시오.
  2. 클릭 관리 > 설정 > Nanolog 스트리밍 서비스.
  3. 태그쌍2를 클릭하여 NSS 피드 탭을 엽니다.
  4. Click Add NSS Feed.

  5. 다음 설정을 구성하십시오: Edit NSS Feed 대화 상자에서

    1. 피드 이름: 피드에 대한 서술적인 이름을 입력하십시오.
    2. NSS 유형: 방화벽을 위한 NSS를 선택하십시오.
    3. NSS 서버 방화벽 서버를 위한 NSS를 선택합니다.
    4. 상태: 활성화됨을 클릭합니다.
    5. SIEM IP 주소 이전에 Sophos Central에서 지정한 syslog IP 주소를 입력하십시오.
    6. SIEM TCP 포트 이전에 Sophos Central에서 생성된 포트를 입력하십시오.
    7. 로그 유형: 클릭하세요 방화벽 로그.
    8. 방화벽 로그 유형 클릭하십시오 세션 및 집계 로그 모두.
    9. Feed Output Type 고객 선택

    10. Feed 출력 형식 문자열을 복사하려면 아래 문자열의 가장 오른쪽에 있는 복사 아이콘 복사 아이콘.을 클릭하십시오. 그런 다음, 필드에 붙여 넣으십시오.

      %s{mon} %02d{dd} %02d{hh}:%02d{mm}:%02d{ss} zscaler-nss-fw CEF:0|Zscaler|NSSFWlog|5.7|%s{action}|%s{rulelabel}|3| act=%s{action} suser=%s{login} src=%s{csip} spt=%d{csport} dst=%s{cdip} dpt=%d{cdport} deviceTranslatedAddress=%s{ssip} deviceTranslatedPort=%d{ssport} destinationTranslatedAddress=%s{sdip} destinationTrans latedPort=%d{sdport} sourceTranslatedAddress=%s{tsip} sourceTranslatedPort=%d{tsport} proto=%s{ipproto} tunnelType=%s{ttype} dnat=%s{dnat} stateful=%s{stateful} spriv=%s{location} reason=%s{rulelabel} in=%ld{inbytes} out=%ld{outbytes} deviceDirection=1 cs1=%s{dept} cs1Label=dept cs2=%s{nwsvc} cs2Label=nwService cs3=%s{nwapp} cs3Label=nwApp cs4=%s{aggregate} cs4Label=aggregated cs5=%s{threatcat} cs5Label=threatcat cs6=%s{threatname} cs6label=threatname cn1=%d{durationms} cn1Label=durationms cn2=%d{numsessions} cn2Label=numsessions cs5Label=ipCat cs5=%s{ipcat} destCountry=%s{destcountry} avgduration=%d{avgduration}\n

    11. Duplicate Logs 선택 비활성화됨.

    12. 나머지 필드에 대해서는 기본 값으로 유지하십시오.
    13. 저장을 클릭합니다.

웹 로그를 전달하세요.

Zscaler를 다음과 같이 웹 로그를 보내도록 구성하십시오:

  1. 관리자 권한으로 Zscaler NSS 웹 관리 인터페이스에 로그인하십시오.
  2. 클릭 관리 > 설정 > Nanolog 스트리밍 서비스.
  3. 태그쌍2를 클릭하여 NSS 피드 탭을 엽니다.
  4. Click Add NSS Feed.

  5. 다음 설정을 구성하십시오: Edit NSS Feed 대화 상자에서

    1. 피드 이름: 피드에 대한 서술적인 이름을 입력하십시오.
    2. NSS 서버 웹 서버용 NSS를 선택하십시오.
    3. 상태: 활성화됨을 클릭합니다.
    4. SIEM IP 주소 이전에 Sophos Central에서 지정한 syslog IP 주소를 입력하십시오.
    5. SIEM TCP 포트 이전에 Sophos Central에서 생성된 포트를 입력하십시오.
    6. 로그 유형: Click 웹 로그.

    7. Feed Output Type 문자열을 복사하려면 아래 문자열의 가장 오른쪽에 있는 복사 아이콘 복사 아이콘.을 클릭하십시오. 그런 다음, 필드에 붙여 넣으십시오.

      %s{mon} %02d{dd} %02d{hh}:%02d{mm}:%02d{ss} zscaler-nss CEF:0|Zscaler|NSSWeblog|5.7|%s{action}|%s{reason}|3| act=%s{action} reason=%s{reason} app=%s{proto} dhost=%s{ehost} dst=%s{sip} src=%s{cip} sourceTranslatedAddress=%s{cintip} in=%d{respsize} out=%d{reqsize} request=%s{eurl} requestContext=%s{ereferer} outcome=%s{respcode} requestClientApplication=%s{ua} requestMethod=%s{reqmethod} suser=%s{login} spriv=%s{location} externalId=%d{recordid} fileType=%s{filetype} destinationServiceNam e=%s{appname} cat=%s{urlcat} deviceDirection=1 cn1=%d{riskscore} cn1Label=riskscore cs1=%s{dept} cs1Label=dept cs2=%s{urlcat} cs2Label=urlcat cs3=%s{malwareclass} cs3Label=malwareclass cs4=%s{malwarecat} cs4Label=malwarecat cs5=%s{threatname} cs5Label=threatname cs6Label=%s{bamd5} cs6=md5hash rulelabel=%s{rulelabel} ruletype=%s{ruletype} urlclass=%s{urlclass} devicemodel=%s{devicemodel}\n

    8. 나머지 필드에 대해서는 기본 값으로 유지하십시오.

    9. 저장을 클릭합니다.

전방 DNS 로그

Zscaler를 다음과 같이 DNS 로그를 보내도록 구성하십시오:

  1. 관리자 권한으로 Zscaler NSS 웹 관리 인터페이스에 로그인하십시오.
  2. 클릭 관리 > 설정 > Nanolog 스트리밍 서비스.
  3. 태그쌍2를 클릭하여 NSS 피드 탭을 엽니다.
  4. Click Add NSS Feed.

  5. 다음 설정을 구성하십시오: Edit NSS Feed 대화 상자에서

    1. 피드 이름: 피드에 대한 서술적인 이름을 입력하십시오.
    2. NSS 유형: 방화벽을 위한 NSS를 선택하십시오.
    3. NSS 서버 하나의 NSS 서버 인스턴스를 선택하십시오.
    4. 상태: 활성화됨을 클릭합니다.
    5. SIEM IP 주소 이전에 Sophos Central에서 지정한 syslog IP 주소를 입력하십시오.
    6. SIEM TCP 포트 이전에 Sophos Central에서 생성된 포트를 입력하십시오.
    7. 로그 유형: 클릭하십시오 DNS 로그.
    8. Feed Output Type 고객 선택

    9. Feed 출력 형식 문자열을 복사하려면 아래 문자열의 가장 오른쪽에 있는 복사 아이콘 복사 아이콘.을 클릭하십시오. 그런 다음, 필드에 붙여 넣으십시오.

      %s{mon} %02d{dd} %02d{hh}:%02d{mm}:%02d{ss} zscaler-nss-fw CEF:0|Zscaler|NSSDNSlog|5.7|%s{action}|%s{rulelabel}|3| suser=%s{login} cs1=%s{dept} cs1Label=department cs2=%s{reqaction} cs2Label=reqaction cs3=%s{resaction} cs3Label=resaction cs4=%s{reqtype} cs4Label=dns_reqtype cs5=%s{req} cs5Label=dns_req cs6=%s{res} cs6Label=dns_resp cn1=%d{durationms} cn1Label=durationms flexString1=%s{reqrulelabel} flexString1Label=reqrulelabel flexString2=%s{resrulelabel} flexString2Label=resrulelabel cat=%s{domcat} src=%s{cip} dst=%s{sip} dpt=%d{sport} spriv=%s{location} suid=%s{deviceowner} dvchost=%s{devicehostname}\n

    10. Duplicate Logs 선택 비활성화됨.

    11. 나머지 필드에 대해서는 기본 값으로 유지하십시오.
    12. 저장을 클릭합니다.