跳至內容
部分或全部頁面已經過機器翻譯。
了解我們如何支援MDR。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=aryaka-overview

Aryaka整合概觀

您可以將 Aryaka 與 Sophos Central 整合,讓其將警示傳送至 Sophos 進行分析。

本頁面提供此整合功能的概覽。

Aryaka 產品概述

Aryaka 提供「統一 SASE 即服務」,包含廣域軟體定義網路連線、應用程式交付及網路安全功能。

Sophos 文件資訊

整合 Aryaka

資料擷取內容

Sophos 可擷取的範例警示包括:

  • ET DNS Query for TLD-CODE TLD
  • ET INFO Session Traversal Utilities for NAT (STUN Binding Response)
  • ETPRO SCAN IPMI Get Authentication Request (DETAILS)

資料篩選

我們的日誌篩選規則如下:

平台篩選器和日誌收集器:

  • 我們允許所有以 JSON 格式呈現的有效警示訊息。
  • 因訊息量過高,我們會放棄包含文字字串 "\"message\":\"Aryaka Pre-SSL Flow Logs\"""\"message\":\"Aryaka Post-SSL Flow Logs\"" 的警示訊息。

威脅對應範例

透過 fields.alert.signature 欄位來定義警示類型。在流量日誌的情況下,我們也可以回溯到fields.message

範例對應項目如下:

{"alertType": "ET DNS Query for TLD-CODE TLD", "threatId": "T1071.004", "threatName": "Application Layer Protocol: DNS"}
{"alertType": "ET INFO Session Traversal Utilities for NAT (STUN Binding Response)", "threatId": "T1599.001", "threatName": "Network Boundary Bridging: Network Address Translation Traversal"}
{"alertType": "ETPRO SCAN IPMI Get Authentication Request (DETAILS)", "threatId": "T1046", "threatName": "Network Service Scanning"}

原廠文件