Aryaka 整合的概覽
您可以將 Aryaka 與 Sophos Central 整合,讓其將警示傳送至 Sophos 進行分析。
本頁面提供此整合功能的概覽。
Aryaka 產品概覽
Aryaka 提供「統一 SASE 即服務」,包括廣域軟體定義網路連線、應用程式交付及網路安全功能。
Sophos 說明文件
我們擷取的內容
Sophos 可擷取的範例警示包括:
ET DNS Query for TLD-CODE TLDET INFO Session Traversal Utilities for NAT (STUN Binding Response)ETPRO SCAN IPMI Get Authentication Request (DETAILS)
資料篩選
We filter messages as follows:
平台過濾器和記錄收集器:
- 我們允許所有有效的 JSON 格式警示。
- 然後我們丟棄包含文本字符串
""message":"Aryaka Pre-SSL Flow Logs""或""message":"Aryaka Post-SSL Flow Logs""的警示,因為消息量非常大。
威脅對應範例
我們通過字段 fields.alert.signature 定義警示類型。在流量日誌的情況下,我們也可以回退到 fields.message。
範例對應項目如下:
{"alertType":"ET DNS Query for TLD-CODE TLD", "threatId":"T1071.004", "threatName":"Application Layer Protocol:DNS"}
{"alertType":"ET INFO Session Traversal Utilities for NAT (STUN Binding Response)", "threatId":"T1599.001", "threatName":"Network Boundary Bridging:Network Address Translation Traversal"}
{"alertType":"ETPRO SCAN IPMI Get Authentication Request (DETAILS)", "threatId":"T1046", "threatName":"Network Service Scanning"}