Aller au contenu
Découvrez comment nous prenons en charge MDR.

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=zscalerzia

Intégrer Zscaler ZIA

Outil de collecte des journaux Réseau

Vous devez avoir un pack de licence d’intégration « Network » pour utiliser cette fonction.

Vous pouvez intégrer Zscaler ZIA à Sophos Central pour lui permettre d’envoyer des alertes à Sophos.

Cette intégration utilise un collecteur de journaux hébergé sur une machine virtuelle (VM). Ensemble, ils s’appellent une appliance d’intégration. L’appliance reçoit des données tierces et les envoie à Sophos Data Lake.

Cette page décrit l’intégration à l’aide d’une appliance sur ESXi ou Hyper-V. Si vous souhaitez effectuer une intégration à l’aide d’une appliance sur AWS, consultez Ajouter des intégrations sur AWS.

Étapes clés

Les étapes clés d’une intégration sont les suivantes :

  • Ajouter une intégration dans Sophos Central. À cette étape, vous créez une image de l’appliance.
  • Télécharger et déployer l’image sur votre machine virtuelle. Cela devient votre appliance.
  • Configurer Zscaler ZIA pour envoyer des données à l’appliance.

Conditions requises

Les appliances ont des exigences en matière d’accès au système et au réseau. Pour vérifier que vous y adhérez, consultez Exigences relatives à l’appliance.

Ajouter une intégration

Pour ajouter une intégration, procédez comme suit :

  1. Dans Sophos Central, allez dans Centre d’analyse des menaces > Intégrations > Marketplace.

  2. Cliquez sur Zscaler ZIA.

    La page Zscaler ZIA s’ouvre. Vous pouvez ajouter les intégrations et voir une liste de celles que vous avez déjà ajoutées.

  3. Dans Ingestion de données (alertes de sécurité), cliquez sur Ajouter une configuration.

    Remarque

    S’il s’agit de la première intégration que vous ajoutez, nous vous demanderons des détails sur vos domaines et adresses IP internes. Voir Fournir les détails de votre domaine et de votre adresse IP.

    Les Étapes de configuration de l’intégration s’affichent.

Configurer l’appliance

Dans les Étapes de configuration de l’intégration, vous pouvez configurer une nouvelle appliance ou utiliser une appliance existante.

Nous supposons ici que vous configurez une nouvelle appliance. Pour ce faire, créez une image comme suit :

  1. Saisissez le nom et la description de l’intégration.
  2. Cliquez sur Créer une nouvelle appliance.
  3. Saisissez le nom et la description de l’appliance.
  4. Sélectionnez la plate-forme virtuelle. Actuellement, nous prenons en charge VMware ESXi 6.7 Update 3 ou version ultérieure et Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou version ultérieure.

  5. Spécifiez les paramètres IP pour les Ports du réseau connecté à Internet. Cette opération configure l’interface de gestion de l’appliance.

    • Sélectionnez DHCP pour assigner automatiquement l’adresse IP.

      Remarque

      Si vous sélectionnez DHCP, vous devez lui réserver l’adresse IP.

    • Sélectionnez Manuel pour spécifier les paramètres réseau.

  6. Sélectionnez la version IP syslog et saisissez l’adresse IP syslog.

    Vous aurez besoin de l’adresse IP syslog ultérieurement lorsque vous allez configurer Zscaler ZIA pour envoyer des données à votre appliance.

  7. Dans Protocole, sélectionnez TCP.

    Lorsque vous configurez Zscaler ZIA pour qu’il envoie des données à votre appliance, assurez-vous qu’il utilise le même protocole.

  8. Cliquez sur Enregistrer.

    Nous créons l’intégration et celle-ci apparaît dans votre liste.

    Dans les détails d’intégration, vous pouvez voir le numéro de port de l’appliance. Vous aurez besoin de cette information ultérieurement lorsque vous allez configurer Zscaler ZIA pour qu’il lui envoie des données.

    L’image de l’appliance sera prête au téléchargement en l’espace de quelques minutes.

Déployer l’appliance

Restriction

Si vous utilisez ESXi, le fichier OVA est vérifié avec Sophos Central afin de ne pouvoir être utilisé qu’une seule fois. Si vous devez déployer une autre machine virtuelle, veuillez créer de nouveau le fichier OVA dans Sophos Central.

Utilisez l’image pour déployer l’appliance comme suit :

  1. Dans la liste des intégrations, dans Actions, cliquez sur l’action de téléchargement de votre plate-forme, par exemple Télécharger la version OVA pour ESXi.
  2. Une fois le téléchargement de l’image terminé, déployez-la sur votre machine virtuelle. Voir Déployer des appliances.

Configurer Zscaler ZIA

Configurer Zscaler ZIA pour envoyer des données à Sophos. Ceci implique les étapes principales suivantes :

  • Configurer un serveur Nanolog Streaming Service (NSS).
  • Transférer les journaux du pare-feu.
  • Transférer les journaux Web.
  • Transférer les journaux DNS.

Remarque

Vous pouvez configurer plusieurs instances de Zscaler ZIA pour envoyer des données à Sophos via la même appliance. Une fois l’intégration terminée, répétez les étapes de cette section pour vos autres instances de Zscaler ZIA. Vous n’avez pas besoin de répéter les étapes dans Sophos Central.

Configurer un serveur NSS

Configurer et déployer un serveur NSS.

Nous vous recommandons de déployer des instances de NSS pour le Web et de NSS pour le pare-feu. Ceci vous garantira de capturer tous les types d’alerte pertinents. Dans la plupart des cas, vous devrez les déployer sur site afin de pouvoir transférer syslog au collecteur de journaux Sophos de votre environnement.

  1. Connectez-vous à l’interface d’administration Web Zscaler NSS avec les autorisations d’administrateur.
  2. Cliquez sur Administration > Paramètres > Nanolog Streaming Service.
  3. Suivez les étapes pour dimensionner l’appareil NSS. Voir À savoir : NSS.
  4. Cliquez sur Ajouter un serveur NSS.
  5. Saisissez un nom pour identifier ce serveur comme serveur NSS pour la diffusion d’événements vers Sophos.

  6. Dans Type, sélectionnez NSS pour le Web ou NSS pour le pare-feu.

    Nous vous recommandons d’en déployer un de chaque.

  7. Configurez l’État comme Activé.

  8. Cliquez sur Enregistrer.
  9. Téléchargez et déployez l’image sur votre plate-forme, par exemple VMware ou AWS.

Retrouvez plus de renseignements sur Comprendre le service de streaming Nanolog (NSS).

Retrouvez des guides de déploiement spécifiques sur Nanolog Streaming Service.

Ensuite, configurez NSS pour qu’il transfère les types de journaux voulus.

Transférer les journaux du pare-feu

Pour transférer les journaux de pare-feu, configurez Zscaler NSS comme suit :

  1. Connectez-vous à l’interface d’administration Web Zscaler NSS avec les autorisations d’administrateur.
  2. Cliquez sur Administration > Paramètres > Nanolog Streaming Service.
  3. Cliquez sur l’onglet Flux NSS.
  4. Cliquez sur Ajouter un flux NSS.

  5. Dans la boîte de dialogue Modifier le flux NSS, configurez les paramètres suivants :

    1. Nom du flux : Saisissez un nom descriptif pour le certificat.
    2. Type de NSS : Sélectionnez NSS pour pare-feu.
    3. Serveur NSS : Sélectionnez le serveur NSS pour pare-feu.
    4. État : Cliquez sur Activé.
    5. Adresse IP SIEM : Saisissez l’adresse IP syslog que vous avez spécifiée précédemment dans Sophos Central.
    6. Port TCP SIEM  : Saisissez le port généré auparavant dans Sophos Central.
    7. Type du journal : Cliquez sur Journaux du pare-feu.
    8. Type de journal du pare-feu : Cliquez Journaux de session et journaux agrégés.
    9. Type de sortie d’alimentation : Sélectionnez Personnalisé.

    10. Format de sortie d’alimentation : Cliquez sur l’icône Copier Icône Copier. à l’extrême droite de la chaîne ci-dessous pour copier la chaîne. Ensuite, collez-la dans le champ.

      %s{mon} %02d{dd} %02d{hh}:%02d{mm}:%02d{ss} zscaler-nss-fw CEF:0|Zscaler|NSSFWlog|5.7|%s{action}|%s{rulelabel}|3| act=%s{action} suser=%s{login} src=%s{csip} spt=%d{csport} dst=%s{cdip} dpt=%d{cdport} deviceTranslatedAddress=%s{ssip} deviceTranslatedPort=%d{ssport} destinationTranslatedAddress=%s{sdip} destinationTrans latedPort=%d{sdport} sourceTranslatedAddress=%s{tsip} sourceTranslatedPort=%d{tsport} proto=%s{ipproto} tunnelType=%s{ttype} dnat=%s{dnat} stateful=%s{stateful} spriv=%s{location} reason=%s{rulelabel} in=%ld{inbytes} out=%ld{outbytes} deviceDirection=1 cs1=%s{dept} cs1Label=dept cs2=%s{nwsvc} cs2Label=nwService cs3=%s{nwapp} cs3Label=nwApp cs4=%s{aggregate} cs4Label=aggregated cs5=%s{threatcat} cs5Label=threatcat cs6=%s{threatname} cs6label=threatname cn1=%d{durationms} cn1Label=durationms cn2=%d{numsessions} cn2Label=numsessions cs5Label=ipCat cs5=%s{ipcat} destCountry=%s{destcountry} avgduration=%d{avgduration}\n

    11. Journaux dupliqués : Sélectionnez Désactivé.

    12. Pour les autres champs, conservez les valeurs par défaut.
    13. Cliquez sur Enregistrer.

Transférer les journaux Web

Pour envoyer les journaux Web, configurez Zscaler comme suit :

  1. Connectez-vous à l’interface d’administration Web Zscaler NSS avec les autorisations d’administrateur.
  2. Cliquez sur Administration > Paramètres > Nanolog Streaming Service.
  3. Cliquez sur l’onglet Flux NSS.
  4. Cliquez sur Ajouter un flux NSS.

  5. Dans la boîte de dialogue Modifier le flux NSS, configurez les paramètres suivants :

    1. Nom du flux : Saisissez un nom descriptif pour le certificat.
    2. Serveur NSS : Sélectionnez le serveur NSS pour Web.
    3. État : Cliquez sur Activé.
    4. Adresse IP SIEM : Saisissez l’adresse IP syslog que vous avez spécifiée précédemment dans Sophos Central.
    5. Port TCP SIEM : Saisissez le port généré auparavant dans Sophos Central.
    6. Type du journal : Cliquez sur Journal Web.

    7. Type de sortie d’alimentation : Cliquez sur l’icône Copier Icône Copier. à l’extrême droite de la chaîne ci-dessous pour copier la chaîne. Ensuite, collez-la dans le champ.

      %s{mon} %02d{dd} %02d{hh}:%02d{mm}:%02d{ss} zscaler-nss CEF:0|Zscaler|NSSWeblog|5.7|%s{action}|%s{reason}|3| act=%s{action} reason=%s{reason} app=%s{proto} dhost=%s{ehost} dst=%s{sip} src=%s{cip} sourceTranslatedAddress=%s{cintip} in=%d{respsize} out=%d{reqsize} request=%s{eurl} requestContext=%s{ereferer} outcome=%s{respcode} requestClientApplication=%s{ua} requestMethod=%s{reqmethod} suser=%s{login} spriv=%s{location} externalId=%d{recordid} fileType=%s{filetype} destinationServiceNam e=%s{appname} cat=%s{urlcat} deviceDirection=1 cn1=%d{riskscore} cn1Label=riskscore cs1=%s{dept} cs1Label=dept cs2=%s{urlcat} cs2Label=urlcat cs3=%s{malwareclass} cs3Label=malwareclass cs4=%s{malwarecat} cs4Label=malwarecat cs5=%s{threatname} cs5Label=threatname cs6Label=%s{bamd5} cs6=md5hash rulelabel=%s{rulelabel} ruletype=%s{ruletype} urlclass=%s{urlclass} devicemodel=%s{devicemodel}\n

    8. Pour les autres champs, conservez les valeurs par défaut.

    9. Cliquez sur Enregistrer.

Transférer les journaux DNS

Pour envoyer les journaux DNS, configurez Zscaler comme suit :

  1. Connectez-vous à l’interface d’administration Web Zscaler NSS avec les autorisations d’administrateur.
  2. Cliquez sur Administration > Paramètres > Nanolog Streaming Service.
  3. Cliquez sur l’onglet Flux NSS.
  4. Cliquez sur Ajouter un flux NSS.

  5. Dans la boîte de dialogue Modifier le flux NSS, configurez les paramètres suivants :

    1. Nom du flux : Saisissez un nom descriptif pour le certificat.
    2. Type de NSS : Sélectionnez NSS pour pare-feu.
    3. Serveur NSS : Sélectionnez l’une de vos instances de serveur NSS.
    4. État : Cliquez sur Activé.
    5. Adresse IP SIEM : Saisissez l’adresse IP syslog que vous avez spécifiée précédemment dans Sophos Central.
    6. Port TCP SIEM : Saisissez le port généré auparavant dans Sophos Central.
    7. Type du journal : Cliquez sur Journaux DNS.
    8. Type de sortie d’alimentation : Sélectionnez Personnalisé.

    9. Format de sortie d’alimentation : Cliquez sur l’icône Copier Icône Copier. à l’extrême droite de la chaîne ci-dessous pour copier la chaîne. Ensuite, collez-la dans le champ.

      %s{mon} %02d{dd} %02d{hh}:%02d{mm}:%02d{ss} zscaler-nss-fw CEF:0|Zscaler|NSSDNSlog|5.7|%s{action}|%s{rulelabel}|3| suser=%s{login} cs1=%s{dept} cs1Label=department cs2=%s{reqaction} cs2Label=reqaction cs3=%s{resaction} cs3Label=resaction cs4=%s{reqtype} cs4Label=dns_reqtype cs5=%s{req} cs5Label=dns_req cs6=%s{res} cs6Label=dns_resp cn1=%d{durationms} cn1Label=durationms flexString1=%s{reqrulelabel} flexString1Label=reqrulelabel flexString2=%s{resrulelabel} flexString2Label=resrulelabel cat=%s{domcat} src=%s{cip} dst=%s{sip} dpt=%d{sport} spriv=%s{location} suid=%s{deviceowner} dvchost=%s{devicehostname}\n

    10. Journaux dupliqués : Sélectionnez Désactivé.

    11. Pour les autres champs, conservez les valeurs par défaut.
    12. Cliquez sur Enregistrer.