주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.
MDR을 지원하는 방법에 대해 알아보십시오.

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=Zscaler

Zscaler ZIA 통합

Sophos Central에 Zscaler ZIA (Zscaler Internet Access)를 통합하면 Sophos로 경고를 전송하여 분석할 수 있습니다.

이 페이지에서는 통합에 대한 개요를 제공합니다.

Zscaler ZIA 제품 개요

Zscaler ZIA는 SSE(보안 서비스 에지) 플랫폼입니다. ZIA는 클라우드를 모니터링하고 소프트웨어 및 데이터베이스 업데이트, 정책 및 구성 설정, 위협 인텔리전스를 위한 중심적인 위치를 제공합니다.

Sophos 문서

지스케일러 ZIA를 통합합니다.

수집되는 것

저희가 확인하는 알림 예시는 다음과 같습니다.

  • Reputation block outbound request: malicious URL
  • Reputation block outbound request: phishing site
  • Not allowed non-RFC compliant HTTP traffic
  • Not allowed to upload/download encrypted or password-protected archive files
  • IPS block outbound request: cross-site scripting (XSS) attack
  • Remote Backup Failed
  • IPS block: cryptomining & blockchain traffic
  • RDP Allow
  • Malware block: malicious file
  • Sandbox block inbound response: malicious file

우리는 그 외에도 많은 것들을 섭취합니다.

완전히 수집되는 경고

NSS(나노로그 스트리밍 서비스)에서 다음 범주를 구성하는 것을 권장합니다.

  • Zscaler ZIA 방화벽 로그
  • Zscaler ZIA 웹 로그
  • Zscaler ZIA DNS 로그

필터링

경고는 다음과 같이 필터링됩니다.

로그 수집기 에게

로그 수집기 에서 다음과 같은 기준으로 필터링합니다.

  • 잘못된 형식의 데이터(CEF)
  • 예를 들어 허용된 트래픽 로그와 같이 양은 많지만 중요도가 낮은 로그

플랫폼에서

플랫폼에서는 보안 이벤트로 간주되지 않는 대량의 로그를 필터링합니다. 여기에는 다음이 포함됩니다.

  • 정책 접근 로그(예: 소셜 미디어 접근)
  • 표준 방화벽 정책에서 기본적으로 허용되는 연결
  • 대량으로 발생하는 사소한 항목들, 예를 들어 SSL 핸드셰이크 로그

샘플 위협 매핑

경고 유형은 CEF 헤더의 이름 필드에 정의됩니다.

{"alertType": "Reputation block outbound request: malicious URL","threatId": "T1598.003","threatName": "Spearphishing Link",}
{"alertType": "Remote Backup Failed", "threatId": "T1020","threatName": "Automated Exfiltration",},
{"alertType": "Reputation block outbound request: malicious URL","threatId": "T1598.003","threatName": "Spearphishing Link",}
{"alertType": "IPS block: cryptomining & blockchain traffic","threatId": "T1496","threatName": "Resource Hijacking",}
{"alertType": "Reputation block outbound request: phishing site","threatId": "T1566","threatName": "Phishing",}
{"alertType": "RDP Allow","threatId": "T1021.001","threatName": "Remote Desktop Protocol",}
{"alertType": "IPS block outbound request: cross-site scripting (XSS) attack","threatId": "T1189","threatName": "Drive-by Compromise",}
{"alertType": "Malware block: malicious file","threatId": "T1204.002","threatName": "Malicious File",}
{"alertType": "Sandbox block inbound response: malicious file","threatId": "T1204.002","threatName": "Malicious File",}
{"alertType": "Not allowed non-RFC compliant HTTP traffic","threatId": "T1071","threatName": "Application Layer Protocol",}
{"alertType": "Not allowed to upload/download encrypted or password-protected archive files","threatId": "T1027","threatName": "Obfuscated Files or Information",}

공급업체 설명서