Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=zscalerzia

Integrar Zscaler ZIA

Recopilador de registros Red

Debe tener el paquete de licencia de integración "Network" para utilizar esta función.

Puede integrar Zscaler ZIA con Sophos Central para que envíe alertas a Sophos.

Esta integración utiliza un recopilador de registros alojado en una máquina virtual (VM). Juntos se denominan dispositivo de integración. El dispositivo recibe datos de terceros y los envía a Sophos Data Lake.

En esta página se describe la integración mediante un dispositivo en ESXi o Hyper-V. Si desea integrar con un dispositivo en AWS, consulteAñadir integraciones en AWS.

Pasos clave

Los pasos clave de una integración son los siguientes:

  • Añadir una integración en Sophos Central. En este paso, se crea una imagen del dispositivo.
  • Descargar y desplegar la imagen en su VM. Esto se convierte en su dispositivo.
  • Configurar Zscaler ZIA para enviar datos al dispositivo.

Requisitos

Los dispositivos tienen requisitos de acceso de sistema y de red. Para comprobar que los cumple, consulte Requisitos del dispositivo .

Añadir una integración

Para añadir una integración, haga lo siguiente:

  1. En Sophos Central, vaya al Centro de análisis de amenazas > Integraciones > Marketplace.

  2. Haga clic en Zscaler ZIA.

    Se abre la página Zscaler ZIA. Puede añadir integraciones aquí y ver una lista de cualquiera que ya haya añadido.

  3. En Ingesta de datos (alertas de seguridad), haga clic en Añadir configuración.

    Nota

    Si es la primera integración que añade, le pediremos detalles de sus direcciones IP y dominios internos. Consulte Proporcionar los detalles de su dominio y dirección IP.

    Aparece Pasos de configuración de la integración.

Configurar el dispositivo

En Pasos de configuración de la integración, puede configurar un nuevo dispositivo o utilizar uno existente.

Asumimos aquí que va a configurar un nuevo dispositivo. Para ello, cree una imagen de la siguiente manera:

  1. Introduzca un nombre y una descripción para la integración.
  2. Haga clic en Crear un nuevo dispositivo.
  3. Introduzca un nombre y una descripción para el dispositivo.
  4. Seleccione la plataforma virtual. Actualmente, admitimos VMware ESXi 6.7 Update 3 o posterior y Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) o posterior.

  5. Especifique la configuración IP para los puertos de red conectados a Internet. Esto configura la interfaz de administración para el dispositivo.

    • Seleccione DHCP para asignar la dirección IP automáticamente.

      Nota

      Si selecciona DHCP, debe reservar la dirección IP.

    • Seleccione Manual para especificar la configuración de la red.

  6. Seleccione la versión de IP de Syslog e introduzca la dirección IP de Syslog.

    Necesitará esta dirección IP de Syslog más tarde, cuando configure Zscaler ZIA para que envíe datos a su dispositivo.

  7. En Protocolo, seleccione TCP.

    Cuando configure Zscaler ZIA para enviar datos a su dispositivo, debe asegurarse de que utiliza el mismo protocolo.

  8. Haga clic en Guardar.

    Creamos la integración y aparece en la lista.

    En los detalles de integración, puede ver el número de puerto del dispositivo. Necesitará esto más tarde cuando configure Zscaler ZIA para que le envíe datos.

    La imagen del dispositivo puede tardar unos minutos en estar lista.

Desplegar el dispositivo

Restricción

Si utiliza ESXi, el archivo OVA se verifica con Sophos Central, por lo que solo se puede utilizar una vez. Si tiene que desplegar otra VM, debe volver a crear un archivo OVA en Sophos Central.

Utilice la imagen para desplegar el dispositivo de la siguiente manera:

  1. En la lista de integraciones, en Acciones, haga clic en la acción de descarga de la plataforma, por ejemplo, Descargar OVA para ESXi.
  2. Cuando finalice la descarga de la imagen, despliéguela en la VM. Consulte Desplegar dispositivos.

Configurar Zscaler ZIA

Configure Zscaler ZIA para que envíe datos a Sophos. Esto implica estos pasos principales:

  • Configurar un servidor de Nanolog Streaming Service (NSS).
  • Reenviar registros de firewall.
  • Reenviar registros web.
  • Reenviar registros DNS.

Nota

Puede configurar varias instancias de Zscaler ZIA para enviar datos a Sophos a través del mismo dispositivo. Una vez finalizada la integración, repita los pasos de esta sección para sus otras instancias de Zscaler ZIA. No es necesario que repita los pasos en Sophos Central.

Configurar un servidor de NSS

Configure y despliegue un servidor de NSS.

Recomendamos desplegar instancias tanto de NSS para la web como de NSS para firewall. Así se asegurará de capturar todos los tipos de alerta relevantes. En la mayoría de los casos, debería desplegarlas de forma local para poder reenviar el registro del sistema al recopilador de registros de Sophos en su entorno.

  1. Inicie sesión en la interfaz de administración web de Zscaler NSS con permisos de administrador.
  2. Haga clic en Administración > Configuración > Nanolog Streaming Service.
  3. Siga los pasos para dimensionar el dispositivo de NSS. Consulte Qué debe saber: NSS.
  4. Haga clic en Añadir servidor de NSS.
  5. Introduzca un nombre para identificarlo como servidor de NSS para la transmisión de eventos a Sophos.

  6. En Tipo, seleccione NSS para la web o NSS para firewall.

    Recomendamos implementar una instancia de cada uno.

  7. Establezca el Estado en Activado.

  8. Haga clic en Guardar.
  9. Descargue e implemente la imagen en su plataforma, por ejemplo, VMware o AWS.

Para obtener más detalles, consulte Comprender Nanolog Streaming Service (NSS).

Para obtener guías de despliegue específicas, consulte Nanolog Streaming Service.

A continuación, hay que configurar NSS para reenviar cada tipo de registro que desee.

Reenviar registros de firewall

Configure Zscaler NSS para que envíe los registros de firewall de la siguiente manera:

  1. Inicie sesión en la interfaz de administración web de Zscaler NSS con permisos de administrador.
  2. Haga clic en Administración > Configuración > Nanolog Streaming Service.
  3. Haga clic en la pestaña Feeds de NSS.
  4. Haga clic en Añadir feed de NSS.

  5. En el cuadro de diálogo Editar feed de NSS, configure estos parámetros:

    1. Nombre del feed: Introduzca un nombre descriptivo para el feed.
    2. Tipo de NSS: Seleccione NSS para firewall.
    3. Servidor de NSS: Seleccione el servidor de NSS para firewall.
    4. Estado: Haga clic en Activado.
    5. Dirección IP de SIEM: Introduzca la dirección IP de Syslog que especificó anteriormente en Sophos Central.
    6. Puerto TCP de SIEM: Introduzca el puerto que se le generó anteriormente en Sophos Central.
    7. Tipo de registro: Haga clic en Registros de firewall.
    8. Tipo de registro de firewall: Haga clic en Registros de sesión y registros agregados.
    9. Tipo de salida del feed: Seleccione Personalizado.

    10. Formato de salida del feed: Haga clic en el icono Copiar Icono Copiar. en el extremo derecho de la cadena de abajo para copiar la cadena. A continuación, péguela en el campo.

      %s{mon} %02d{dd} %02d{hh}:%02d{mm}:%02d{ss} zscaler-nss-fw CEF:0|Zscaler|NSSFWlog|5.7|%s{action}|%s{rulelabel}|3| act=%s{action} suser=%s{login} src=%s{csip} spt=%d{csport} dst=%s{cdip} dpt=%d{cdport} deviceTranslatedAddress=%s{ssip} deviceTranslatedPort=%d{ssport} destinationTranslatedAddress=%s{sdip} destinationTrans latedPort=%d{sdport} sourceTranslatedAddress=%s{tsip} sourceTranslatedPort=%d{tsport} proto=%s{ipproto} tunnelType=%s{ttype} dnat=%s{dnat} stateful=%s{stateful} spriv=%s{location} reason=%s{rulelabel} in=%ld{inbytes} out=%ld{outbytes} deviceDirection=1 cs1=%s{dept} cs1Label=dept cs2=%s{nwsvc} cs2Label=nwService cs3=%s{nwapp} cs3Label=nwApp cs4=%s{aggregate} cs4Label=aggregated cs5=%s{threatcat} cs5Label=threatcat cs6=%s{threatname} cs6label=threatname cn1=%d{durationms} cn1Label=durationms cn2=%d{numsessions} cn2Label=numsessions cs5Label=ipCat cs5=%s{ipcat} destCountry=%s{destcountry} avgduration=%d{avgduration}\n

    11. Registros duplicados: Seleccione Desactivado.

    12. Para los campos restantes, mantenga los valores predeterminados.
    13. Haga clic en Guardar.

Reenviar registros web

Configure Zscaler para que envíe los registros web de la siguiente manera:

  1. Inicie sesión en la interfaz de administración web de Zscaler NSS con permisos de administrador.
  2. Haga clic en Administración > Configuración > Nanolog Streaming Service.
  3. Haga clic en la pestaña Feeds de NSS.
  4. Haga clic en Añadir feed de NSS.

  5. En el cuadro de diálogo Editar feed de NSS, configure estos parámetros:

    1. Nombre del feed: Introduzca un nombre descriptivo para el feed.
    2. Servidor de NSS: Seleccione el servidor de NSS para la web.
    3. Estado: Haga clic en Activado.
    4. Dirección IP de SIEM: Introduzca la dirección IP de Syslog que especificó anteriormente en Sophos Central.
    5. Puerto TCP de SIEM: Introduzca el puerto que se le generó anteriormente en Sophos Central.
    6. Tipo de registro: Haga clic en Registro web.

    7. Tipo de salida del feed: Haga clic en el icono Copiar Icono Copiar. en el extremo derecho de la cadena de abajo para copiar la cadena. A continuación, péguela en el campo.

      %s{mon} %02d{dd} %02d{hh}:%02d{mm}:%02d{ss} zscaler-nss CEF:0|Zscaler|NSSWeblog|5.7|%s{action}|%s{reason}|3| act=%s{action} reason=%s{reason} app=%s{proto} dhost=%s{ehost} dst=%s{sip} src=%s{cip} sourceTranslatedAddress=%s{cintip} in=%d{respsize} out=%d{reqsize} request=%s{eurl} requestContext=%s{ereferer} outcome=%s{respcode} requestClientApplication=%s{ua} requestMethod=%s{reqmethod} suser=%s{login} spriv=%s{location} externalId=%d{recordid} fileType=%s{filetype} destinationServiceNam e=%s{appname} cat=%s{urlcat} deviceDirection=1 cn1=%d{riskscore} cn1Label=riskscore cs1=%s{dept} cs1Label=dept cs2=%s{urlcat} cs2Label=urlcat cs3=%s{malwareclass} cs3Label=malwareclass cs4=%s{malwarecat} cs4Label=malwarecat cs5=%s{threatname} cs5Label=threatname cs6Label=%s{bamd5} cs6=md5hash rulelabel=%s{rulelabel} ruletype=%s{ruletype} urlclass=%s{urlclass} devicemodel=%s{devicemodel}\n

    8. Para los campos restantes, mantenga los valores predeterminados.

    9. Haga clic en Guardar.

Reenviar registros DNS

Configure Zscaler para que envíe los registros DNS de la siguiente manera:

  1. Inicie sesión en la interfaz de administración web de Zscaler NSS con permisos de administrador.
  2. Haga clic en Administración > Configuración > Nanolog Streaming Service.
  3. Haga clic en la pestaña Feeds de NSS.
  4. Haga clic en Añadir feed de NSS.

  5. En el cuadro de diálogo Editar feed de NSS, configure estos parámetros:

    1. Nombre del feed: Introduzca un nombre descriptivo para el feed.
    2. Tipo de NSS: Seleccione NSS para firewall.
    3. Servidor de NSS: Seleccione una de sus instancias de servidor de NSS.
    4. Estado: Haga clic en Activado.
    5. Dirección IP de SIEM: Introduzca la dirección IP de Syslog que especificó anteriormente en Sophos Central.
    6. Puerto TCP de SIEM: Introduzca el puerto que se le generó anteriormente en Sophos Central.
    7. Tipo de registro: Haga clic en Registros DNS.
    8. Tipo de salida del feed: Seleccione Personalizado.

    9. Formato de salida del feed: Haga clic en el icono Copiar Icono Copiar. en el extremo derecho de la cadena de abajo para copiar la cadena. A continuación, péguela en el campo.

      %s{mon} %02d{dd} %02d{hh}:%02d{mm}:%02d{ss} zscaler-nss-fw CEF:0|Zscaler|NSSDNSlog|5.7|%s{action}|%s{rulelabel}|3| suser=%s{login} cs1=%s{dept} cs1Label=department cs2=%s{reqaction} cs2Label=reqaction cs3=%s{resaction} cs3Label=resaction cs4=%s{reqtype} cs4Label=dns_reqtype cs5=%s{req} cs5Label=dns_req cs6=%s{res} cs6Label=dns_resp cn1=%d{durationms} cn1Label=durationms flexString1=%s{reqrulelabel} flexString1Label=reqrulelabel flexString2=%s{resrulelabel} flexString2Label=resrulelabel cat=%s{domcat} src=%s{cip} dst=%s{sip} dpt=%d{sport} spriv=%s{location} suid=%s{deviceowner} dvchost=%s{devicehostname}\n

    10. Registros duplicados: Seleccione Desactivado.

    11. Para los campos restantes, mantenga los valores predeterminados.
    12. Haga clic en Guardar.