Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=zscalerzia

Zscaler ZIA integrieren

Protokollsammler Netzwerk

Sie benötigen das Integrations-Lizenz-Paket „Netzwerk“, um diese Funktion nutzen zu können.

Sie können Zscaler ZIA in Sophos Central integrieren, sodass Warnmeldungen an Sophos gesendet werden.

Diese Integration verwendet einen auf einer virtuellen Maschine (VM) gehosteten Protokollsammler. Zusammen werden sie als Integrations-Appliance bezeichnet. Die Appliance empfängt Daten von Drittanbietern und sendet sie an den Sophos Data Lake.

Auf dieser Seite wird die Integration mit einer Appliance unter ESXi oder Hyper-V beschrieben. Wenn Sie eine Appliance in AWS integrieren möchten, siehe Integrationen in AWS hinzufügen.

Wichtige Schritte

Die wichtigsten Schritte einer Integration lauten wie folgt:

  • Fügen Sie eine Integration in Sophos Central hinzu. In diesem Schritt erstellen Sie ein Image der Appliance.
  • Laden Sie das Image herunter und stellen Sie es auf Ihrer VM bereit. Dies wird zu Ihrer Appliance.
  • Konfigurieren Sie Zscaler ZIA so, dass Daten an die Appliance gesendet werden.

Voraussetzungen

Appliances haben System- und Netzwerkzugriffsanforderungen. Um zu überprüfen, ob Sie diese erfüllen, lesen Sie Appliance-Anforderungen.

Eine neue Integration hinzufügen

Um ein Integration hinzuzufügen, gehen Sie folgendermaßen vor:

  1. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen > Marketplace.

  2. Klicken Sie auf Zscaler ZIA.

    Die Seite Zscaler ZIA wird geöffnet. Sie können hier Integrationen hinzufügen und eine Liste aller bereits konfigurierten Integrationen anzeigen.

  3. Klicken Sie unter Datenerfassung (Sicherheitsalarme) auf Konfiguration hinzufügen.

    Hinweis

    Wenn dies die erste Integration ist, die Sie hinzugefügt haben, werden Sie zur Angabe von Details zu Ihren internen Domänen und IP-Adressen aufgefordert. Siehe Details zu Ihren Domänen und IPs eingeben.

    Integrations-Einrichtungsschritte wird angezeigt.

Appliance konfigurieren

In den Integrations-Einrichtungsschritten können Sie eine neue Appliance konfigurieren oder eine vorhandene Appliance verwenden.

Hier wird davon ausgegangen, dass Sie eine neue Appliance konfigurieren. Erstellen Sie dazu wie folgt ein Image:

  1. Geben Sie einen Namen und eine Beschreibung für die Integration ein.
  2. Klicken Sie auf Neue Appliance erstellen.
  3. Geben Sie einen Namen und eine Beschreibung für die Appliance ein.
  4. Wählen Sie die virtuelle Plattform aus. Derzeit unterstützen wir VMware ESXi 6.7 Update 3 und neuer sowie Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) und neuer.

  5. Legen Sie die IP-Einstellungen für die internetseitigen Netzwerk-Ports fest. Dadurch wird die Verwaltungsschnittstelle für die Appliance eingerichtet.

    • Wählen Sie DHCP, um die IP-Adresse automatisch zuzuweisen.

      Hinweis

      Wenn Sie DHCP auswählen, müssen Sie die IP-Adresse reservieren.

    • Wählen Sie Manuell, um die Netzwerkeinstellungen festzulegen.

  6. Wählen Sie die Syslog-IP-Version aus und geben Sie die Syslog-IP-Adresse ein.

    Sie benötigen diese Syslog-IP-Adresse später, wenn Sie Zscaler ZIA so konfigurieren, dass Daten an Ihre Appliance gesendet werden.

  7. Wählen Sie unter Protokoll die Option TCP aus.

    Wenn Sie Zscaler ZIA so konfigurieren, dass Daten an Ihre Appliance gesendet werden, müssen sicherstellen, dass dasselbe Protokoll verwendet wird.

  8. Klicken Sie auf Speichern.

    Wir erstellen die Integration und sie wird in Ihrer Liste angezeigt.

    In den Integrationsdetails sehen Sie die Portnummer für die Appliance. Sie benötigen dies später, wenn Sie Zscaler ZIA so konfigurieren, dass Daten dorthin gesendet werden.

    Es kann einige Minuten dauern, bis das Appliance-Image bereit ist.

Appliance bereitstellen

Einschränkung

In ESXi wird die OVA-Datei von Sophos Central verifiziert und kann nur einmal verwendet werden. Wenn Sie eine weitere VM bereitstellen müssen, müssen Sie in Sophos Central noch eine OVA-Datei erstellen.

Verwenden Sie das Image, um die Appliance wie folgt bereitzustellen:

  1. Klicken Sie in der Liste der Integrationen unter Aktionen auf die Download-Aktion für Ihre Plattform, zum Beispiel OVA herunterladen für ESXi.
  2. Wenn der Download des Image abgeschlossen ist, stellen Sie es auf Ihrer VM bereit. Siehe Appliances bereitstellen.

Zscaler ZIA konfigurieren

Konfigurieren Sie Zscaler ZIA so, dass Daten an Sophos gesendet werden. Dies umfasst die folgenden Hauptschritte:

  • NSS-Server (Nanolog Streaming Service) konfigurieren.
  • Firewall-Protokolle weiterleiten.
  • Web-Protokolle weiterleiten.
  • DNS-Protokolle weiterleiten.

Hinweis

Sie können mehrere Instanzen von Zscaler ZIA so konfigurieren, dass Daten über dieselbe Appliance an Sophos gesendet werden. Nachdem Sie die Integration abgeschlossen haben, wiederholen Sie die Schritte in diesem Abschnitt für Ihre anderen Instanzen von Zscaler ZIA. Sie müssen die Schritte in Sophos Central nicht wiederholen.

NSS-Server konfigurieren

Konfigurieren Sie einen NSS-Server und stellen Sie ihn bereit.

Es wird empfohlen, Instanzen von „NSS for Web“ und „NSS for Firewall“ bereitzustellen. Dadurch wird sichergestellt, dass Sie alle relevanten Warnmeldungstypen erfassen. In den meisten Fällen sollten Sie diese lokal bereitstellen, damit Sie Syslog an den Sophos-Protokollsammler in Ihrer Umgebung weiterleiten können.

  1. Melden Sie sich mit Administratorberechtigungen bei der Zscaler NSS-Webverwaltungsschnittstelle an.
  2. Klicken Sie auf Administration > Settings > Nanolog Streaming Service.
  3. Führen Sie die Schritte aus, um die Größe des NSS-Geräts festzulegen. Weitere Informationen finden Sie unter Was Sie wissen müssen: NSS.
  4. Klicken Sie auf Add NSS Server.
  5. Geben Sie einen Namen ein, um diesen als NSS-Server für das Streaming von Ereignissen an Sophos zu identifizieren.

  6. Wählen Sie unter Type die Option „NSS for Web oder „NSS for Firewall“ aus.

    Es wird empfohlen, jeweils einen bereitzustellen.

  7. Setzen Sie Status auf Enabled.

  8. Klicken Sie auf Speichern.
  9. Laden Sie das Image herunter und stellen Sie es auf Ihrer Plattform bereit, zum Beispiel VMware oder AWS.

Weitere Informationen finden Sie unter Nanolog Streaming Service (NSS) verstehen.

Spezifische Bereitstellungshandbücher finden Sie unter Nanolog Streaming Service.

Als Nächstes konfigurieren Sie NSS so, dass alle gewünschten Protokolltypen weitergeleitet werden.

Firewall-Protokolle weiterleiten

Konfigurieren Sie Zscaler NSS so, dass Firewall-Protokolle wie folgt gesendet werden:

  1. Melden Sie sich mit Administratorberechtigungen bei der Zscaler NSS-Webverwaltungsschnittstelle an.
  2. Klicken Sie auf Administration > Settings > Nanolog Streaming Service.
  3. Klicken Sie auf den Tab NSS Feeds.
  4. Klicken Sie auf Add NSS Feed.

  5. Konfigurieren Sie im Dialogfeld Edit NSS Feed die folgenden Einstellungen:

    1. Feed Name: Geben Sie einen aussagekräftigen Namen für den Feed ein.
    2. NSS Type: Wählen Sie NSS for Firewall aus.
    3. NSS Server: Wählen Sie den Server „NSS for Firewall“ aus.
    4. Status: Klicken Sie auf Enabled.
    5. SIEM IP Address: Geben Sie die Syslog-IP-Adresse und den Port ein, die Sie zuvor in Sophos Central angegeben haben.
    6. SIEM TCP Port: Geben Sie die Portnummer ein, die zuvor für Sie in Sophos Central generiert wurde.
    7. Protokolltyp: Klicken Sie auf Firewall Logs.
    8. Firewall Log Type: Klicken Sie auf Both Session and Aggregate Logs.
    9. Feed Output Type: Wählen Sie Custom.

    10. Feed Output Format: Klicken Sie auf das Symbol „Kopieren“ Symbol „Kopieren“. ganz rechts neben der Zeichenfolge unten, um die Zeichenfolge zu kopieren. Fügen Sie sie dann in das Feld ein.

      %s{mon} %02d{dd} %02d{hh}:%02d{mm}:%02d{ss} zscaler-nss-fw CEF:0|Zscaler|NSSFWlog|5.7|%s{action}|%s{rulelabel}|3| act=%s{action} suser=%s{login} src=%s{csip} spt=%d{csport} dst=%s{cdip} dpt=%d{cdport} deviceTranslatedAddress=%s{ssip} deviceTranslatedPort=%d{ssport} destinationTranslatedAddress=%s{sdip} destinationTrans latedPort=%d{sdport} sourceTranslatedAddress=%s{tsip} sourceTranslatedPort=%d{tsport} proto=%s{ipproto} tunnelType=%s{ttype} dnat=%s{dnat} stateful=%s{stateful} spriv=%s{location} reason=%s{rulelabel} in=%ld{inbytes} out=%ld{outbytes} deviceDirection=1 cs1=%s{dept} cs1Label=dept cs2=%s{nwsvc} cs2Label=nwService cs3=%s{nwapp} cs3Label=nwApp cs4=%s{aggregate} cs4Label=aggregated cs5=%s{threatcat} cs5Label=threatcat cs6=%s{threatname} cs6label=threatname cn1=%d{durationms} cn1Label=durationms cn2=%d{numsessions} cn2Label=numsessions cs5Label=ipCat cs5=%s{ipcat} destCountry=%s{destcountry} avgduration=%d{avgduration}\n

    11. Duplicate Logs: Wählen Sie Disabled.

    12. Behalten Sie für die übrigen Felder die Standardwerte bei.
    13. Klicken Sie auf Speichern.

Web-Protokolle weiterleiten

Konfigurieren Sie Zscaler so, dass Web-Protokolle wie folgt gesendet werden:

  1. Melden Sie sich mit Administratorberechtigungen bei der Zscaler NSS-Webverwaltungsschnittstelle an.
  2. Klicken Sie auf Administration > Settings > Nanolog Streaming Service.
  3. Klicken Sie auf den Tab NSS Feeds.
  4. Klicken Sie auf Add NSS Feed.

  5. Konfigurieren Sie im Dialogfeld Edit NSS Feed die folgenden Einstellungen:

    1. Feed Name: Geben Sie einen aussagekräftigen Namen für den Feed ein.
    2. NSS Server: Wählen Sie den Server „NSS for Web“ aus.
    3. Status: Klicken Sie auf Enabled.
    4. SIEM IP Address: Geben Sie die Syslog-IP-Adresse und den Port ein, die Sie zuvor in Sophos Central angegeben haben.
    5. SIEM TCP Port: Geben Sie die Portnummer ein, die zuvor für Sie in Sophos Central generiert wurde.
    6. Protokolltyp: Klicken Sie auf Web Log.

    7. Feed Output Type: Klicken Sie auf das Symbol „Kopieren“ Symbol „Kopieren“. ganz rechts neben der Zeichenfolge unten, um die Zeichenfolge zu kopieren. Fügen Sie sie dann in das Feld ein.

      %s{mon} %02d{dd} %02d{hh}:%02d{mm}:%02d{ss} zscaler-nss CEF:0|Zscaler|NSSWeblog|5.7|%s{action}|%s{reason}|3| act=%s{action} reason=%s{reason} app=%s{proto} dhost=%s{ehost} dst=%s{sip} src=%s{cip} sourceTranslatedAddress=%s{cintip} in=%d{respsize} out=%d{reqsize} request=%s{eurl} requestContext=%s{ereferer} outcome=%s{respcode} requestClientApplication=%s{ua} requestMethod=%s{reqmethod} suser=%s{login} spriv=%s{location} externalId=%d{recordid} fileType=%s{filetype} destinationServiceNam e=%s{appname} cat=%s{urlcat} deviceDirection=1 cn1=%d{riskscore} cn1Label=riskscore cs1=%s{dept} cs1Label=dept cs2=%s{urlcat} cs2Label=urlcat cs3=%s{malwareclass} cs3Label=malwareclass cs4=%s{malwarecat} cs4Label=malwarecat cs5=%s{threatname} cs5Label=threatname cs6Label=%s{bamd5} cs6=md5hash rulelabel=%s{rulelabel} ruletype=%s{ruletype} urlclass=%s{urlclass} devicemodel=%s{devicemodel}\n

    8. Behalten Sie für die übrigen Felder die Standardwerte bei.

    9. Klicken Sie auf Speichern.

DNS-Protokolle weiterleiten

Konfigurieren Sie Zscaler so, dass DNS-Protokolle wie folgt gesendet werden:

  1. Melden Sie sich mit Administratorberechtigungen bei der Zscaler NSS-Webverwaltungsschnittstelle an.
  2. Klicken Sie auf Administration > Settings > Nanolog Streaming Service.
  3. Klicken Sie auf den Tab NSS Feeds.
  4. Klicken Sie auf Add NSS Feed.

  5. Konfigurieren Sie im Dialogfeld Edit NSS Feed die folgenden Einstellungen:

    1. Feed Name: Geben Sie einen aussagekräftigen Namen für den Feed ein.
    2. NSS Type: Wählen Sie NSS for Firewall aus.
    3. NSS Server: Wählen Sie eine Ihrer NSS-Serverinstanzen.
    4. Status: Klicken Sie auf Enabled.
    5. SIEM IP Address: Geben Sie die Syslog-IP-Adresse und den Port ein, die Sie zuvor in Sophos Central angegeben haben.
    6. SIEM TCP Port: Geben Sie die Portnummer ein, die zuvor für Sie in Sophos Central generiert wurde.
    7. Protokolltyp: Klicken Sie auf DNS Logs.
    8. Feed Output Type: Wählen Sie Custom.

    9. Feed Output Format: Klicken Sie auf das Symbol „Kopieren“ Symbol „Kopieren“. ganz rechts neben der Zeichenfolge unten, um die Zeichenfolge zu kopieren. Fügen Sie sie dann in das Feld ein.

      %s{mon} %02d{dd} %02d{hh}:%02d{mm}:%02d{ss} zscaler-nss-fw CEF:0|Zscaler|NSSDNSlog|5.7|%s{action}|%s{rulelabel}|3| suser=%s{login} cs1=%s{dept} cs1Label=department cs2=%s{reqaction} cs2Label=reqaction cs3=%s{resaction} cs3Label=resaction cs4=%s{reqtype} cs4Label=dns_reqtype cs5=%s{req} cs5Label=dns_req cs6=%s{res} cs6Label=dns_resp cn1=%d{durationms} cn1Label=durationms flexString1=%s{reqrulelabel} flexString1Label=reqrulelabel flexString2=%s{resrulelabel} flexString2Label=resrulelabel cat=%s{domcat} src=%s{cip} dst=%s{sip} dpt=%d{sport} spriv=%s{location} suid=%s{deviceowner} dvchost=%s{devicehostname}\n

    10. Duplicate Logs: Wählen Sie Disabled.

    11. Behalten Sie für die übrigen Felder die Standardwerte bei.
    12. Klicken Sie auf Speichern.