Présentation de l'intégration Aryaka

Vous pouvez intégrer Aryaka à Sophos Central afin de lui permettre d’envoyer des alertes à Sophos pour analyse.

Cette page vous donne une vue générale de l’intégration.

Présentation du produit Aryaka

Aryaka offre un SASE unifié en tant que service incluant une connectivité réseau définie par logiciel sur un réseau élargi, une distribution d’applications et une sécurité réseau.

Documents Sophos

Intégrer Aryaka

Ce que nous ingérons

Exemples d’alertes vues par Sophos :

• ET DNS Query for TLD-CODE TLD
• ET INFO Session Traversal Utilities for NAT (STUN Binding Response)
• ETPRO SCAN IPMI Get Authentication Request (DETAILS)

Filtrage

Nous filtrons les messages de la manière suivante :

Filtre de plateforme et collecteur de journaux :

• Nous AUTORISONS tous les alertes valides au format JSON.
• Nous supprimons ensuite les alertes contenant les chaînes de texte ""message":"Aryaka Pre-SSL Flow Logs"" ou ""message":"Aryaka Post-SSL Flow Logs"" en raison du volume très élevé de messages.

Exemples de mappages de menaces

Nous définissons le type d’alerte à l’aide du champ fields.alert.signature. Nous pouvons également recourir à fields.message dans le cas des journaux de flux.

Exemples de mappages :

{"alertType": "ET DNS Query for TLD-CODE TLD", "threatId": "T1071.004", "threatName": "Application Layer Protocol: DNS"}
{"alertType": "ET INFO Session Traversal Utilities for NAT (STUN Binding Response)", "threatId": "T1599.001", "threatName": "Network Boundary Bridging: Network Address Translation Traversal"}
{"alertType": "ETPRO SCAN IPMI Get Authentication Request (DETAILS)", "threatId": "T1046", "threatName": "Network Service Scanning"}

Documentation fournisseur

• Configurer l’intégration SIEM
• Attributs de journal Flow pour l’intégration SIEM
• Attributs du journal de sécurité pour l’intégration SIEM