Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=aryaka-overview

Resumen de la integración de Aryaka

Puede integrar Aryaka con Sophos Central para que envíe alertas a Sophos para analizarlas.

Esta página presenta una visión general de la integración.

Resumen del producto de Aryaka

Aryaka ofrece SASE unificado como servicio, que incluye conectividad de red de área amplia definida por software, entrega de aplicaciones y seguridad de red.

Documentos de Sophos

Integrar Aryaka

Datos que ingerimos

Ejemplos de alertas vistas por Sophos:

  • ET DNS Query for TLD-CODE TLD
  • ET INFO Session Traversal Utilities for NAT (STUN Binding Response)
  • ETPRO SCAN IPMI Get Authentication Request (DETAILS)

Filtrado

Filtramos los mensajes de la siguiente manera.

Filtro de plataforma y recopilador de registros:

  • ACEPTAMOS todas las alertas válidas que estén en formato JSON.
  • Posteriormente, DESCARTAMOS las alertas que contengan las cadenas de texto "\"message\":\"Aryaka Pre-SSL Flow Logs\"" o "\"message\":\"Aryaka Post-SSL Flow Logs\"" debido al elevado volumen de mensajes.

Muestra de asignaciones de amenazas

Definimos el tipo de alerta por el campo fields.alert.signature. También podemos recurrir a fields.message en el caso de los registros de flujo.

Asignaciones de ejemplo:

{"alertType": "ET DNS Query for TLD-CODE TLD", "threatId": "T1071.004", "threatName": "Application Layer Protocol: DNS"}
{"alertType": "ET INFO Session Traversal Utilities for NAT (STUN Binding Response)", "threatId": "T1599.001", "threatName": "Network Boundary Bridging: Network Address Translation Traversal"}
{"alertType": "ETPRO SCAN IPMI Get Authentication Request (DETAILS)", "threatId": "T1046", "threatName": "Network Service Scanning"}

Documentación del proveedor