Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=aryaka-overview

Aryaka-Integrationsübersicht

Sie können Aryaka in Sophos Central integrieren, sodass Alerts zur Analyse an Sophos gesendet werden.

Auf dieser Seite erhalten Sie einen Überblick über die Integration.

Aryaka-Produktübersicht

Aryaka bietet Unified-SASE-as-a-Service an, was Wide Area Software Defined Networking Connectivity, Anwendungsbereitstellung und Netzwerksicherheit umfasst.

Sophos-Dokumente

Aryaka integrieren

Was wir erfassen

Beispiel für Warnmeldungen, die Sophos gesehen hat:

  • ET DNS Query for TLD-CODE TLD
  • ET INFO Session Traversal Utilities for NAT (STUN Binding Response)
  • ETPRO SCAN IPMI Get Authentication Request (DETAILS)

Filterung

Nachrichten werden wie folgt gefiltert.

Plattformfilter und Protokollsammler:

  • Wir ERLAUBEN alle gültigen Alerts im JSON-Format.
  • Wir VERWERFEN dann Alerts, die die Textzeichenfolgen "\"message\":\"Aryaka Pre-SSL Flow Logs\"" oder "\"message\":\"Aryaka Post-SSL Flow Logs\"" enthalten, aufgrund des sehr hohen Nachrichtenaufkommens.

Beispiele für Bedrohungszuordnungen

Wir definieren den Alert-Typ anhand des Felds fields.alert.signature. Im Falle von Flow-Protokollen können wir auch auf fields.message zurückgreifen.

Beispielzuordnungen:

{"alertType": "ET DNS Query for TLD-CODE TLD", "threatId": "T1071.004", "threatName": "Application Layer Protocol: DNS"}
{"alertType": "ET INFO Session Traversal Utilities for NAT (STUN Binding Response)", "threatId": "T1599.001", "threatName": "Network Boundary Bridging: Network Address Translation Traversal"}
{"alertType": "ETPRO SCAN IPMI Get Authentication Request (DETAILS)", "threatId": "T1046", "threatName": "Network Service Scanning"}

Herstellerdokumentation