Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=Zscaler

Integração do Zscaler ZIA

Coletor de log Rede

Você pode integrar o Zscaler ZIA (Zscaler Internet Access) ao Sophos Central para o envio de alertas à Sophos para análise.

Esta página lhe dá uma visão geral da integração.

Visão geral do produto Zscaler ZIA

O Zscaler ZIA é uma plataforma SSE (Security Service Edge). O ZIA monitora a nuvem e oferece um local centralizado para atualizações de software e banco de dados, definição de configurações e políticas, e inteligência de ameaças.

Documentação da Sophos

Integrar Zscaler ZIA

O que ingerimos

Exemplos de alertas que vemos:

  • Reputation block outbound request: malicious URL
  • Reputation block outbound request: phishing site
  • Not allowed non-RFC compliant HTTP traffic
  • Not allowed to upload/download encrypted or password-protected archive files
  • IPS block outbound request: cross-site scripting (XSS) attack
  • Remote Backup Failed
  • IPS block: cryptomining & blockchain traffic
  • RDP Allow
  • Malware block: malicious file
  • Sandbox block inbound response: malicious file

Também ingerimos muitos outros.

Alertas ingeridos na íntegra

Recomendamos que você configure as seguintes categorias no NSS (Nanolog Streaming Service):

  • Logs de firewall do Zscaler ZIA
  • Logs da Web do Zscaler ZIA
  • Logs de DNS do Zscaler ZIA

Filtragem

Filtramos alertas da seguinte forma.

No coletor de log

No coletor de log, filtramos por:

  • Dados formatados incorretamente (CEF)
  • Logs de alto volume e de baixo interesse, por exemplo, logs do tráfego permitido

Na plataforma

Na plataforma, filtramos vários logs de alto volume que não são interessantes como eventos de segurança, incluindo o seguinte:

  • Logs de acesso à política, por exemplo, acesso às redes sociais
  • Conexões permitidas padrão dentro das políticas de firewall padrão
  • Itens triviais de alto volume, por exemplo, logs de SSL Handshake

Amostra de mapeamentos de ameaças

Os tipos de alerta são definidos pelo campo name no cabeçalho CEF.

{"alertType": "Reputation block outbound request: malicious URL","threatId": "T1598.003","threatName": "Spearphishing Link",}
{"alertType": "Remote Backup Failed", "threatId": "T1020","threatName": "Automated Exfiltration",},
{"alertType": "Reputation block outbound request: malicious URL","threatId": "T1598.003","threatName": "Spearphishing Link",}
{"alertType": "IPS block: cryptomining & blockchain traffic","threatId": "T1496","threatName": "Resource Hijacking",}
{"alertType": "Reputation block outbound request: phishing site","threatId": "T1566","threatName": "Phishing",}
{"alertType": "RDP Allow","threatId": "T1021.001","threatName": "Remote Desktop Protocol",}
{"alertType": "IPS block outbound request: cross-site scripting (XSS) attack","threatId": "T1189","threatName": "Drive-by Compromise",}
{"alertType": "Malware block: malicious file","threatId": "T1204.002","threatName": "Malicious File",}
{"alertType": "Sandbox block inbound response: malicious file","threatId": "T1204.002","threatName": "Malicious File",}
{"alertType": "Not allowed non-RFC compliant HTTP traffic","threatId": "T1071","threatName": "Application Layer Protocol",}
{"alertType": "Not allowed to upload/download encrypted or password-protected archive files","threatId": "T1027","threatName": "Obfuscated Files or Information",}

Documentação do fornecedor