Intégration de Zscaler ZIA
Vous pouvez intégrer Zscaler ZIA (Zscaler Internet Access) à Sophos Central pour lui permettre d’envoyer des alertes à Sophos pour analyse.
Cette page vous donne une vue générale de l’intégration.
Présentation du produit Zscaler ZIA
Zscaler ZIA est une plate-forme SSE (Security Service Edge). ZIA surveille le Cloud et fournit un emplacement central pour les mises à jour des logiciels et des bases de données, pour les paramètres de stratégie et de configuration et pour les renseignements sur les menaces.
Documents Sophos
Ce que nous ingérons
Exemples d’alertes concrètes :
Reputation block outbound request: malicious URL
Reputation block outbound request: phishing site
Not allowed non-RFC compliant HTTP traffic
Not allowed to upload/download encrypted or password-protected archive files
IPS block outbound request: cross-site scripting (XSS) attack
Remote Backup Failed
IPS block: cryptomining & blockchain traffic
RDP Allow
Malware block: malicious file
Sandbox block inbound response: malicious file
Nous en ingérons aussi beaucoup d’autres.
Alertes ingérées dans leur intégralité
Nous vous recommandons de configurer les catégories suivantes dans NSS (Nanolog streaming Service) :
- Journaux du pare-feu Zscaler ZIA
- Journaux web Zscaler ZIA
- Journaux DNS Zscaler ZIA
Filtrage
Nous filtrons les alertes comme suit :
Sur le collecteur de journaux
Sur le collecteur de journaux, nous filtrons les éléments suivants :
- Données mal formatées (CEF)
- Journaux à volume élevé et à faible intérêt, par exemple journaux de trafic autorisé
Sur la plate-forme
Sur la plateforme, nous filtrons un certain nombre de journaux à volume élevé qui n’ont pas d'intérêt en tant qu'événements de sécurité, tels que :
- Journaux d'accès aux stratégies, par exemple accès aux médias sociaux
- Connexions autorisées par défaut dans les stratégies de pare-feu standard
- Éléments triviaux à volume élevé, par exemple les journaux d'établissement de liaison SSL
Exemples de mappages de menaces
Les types d'alerte sont définis par le champ name
sous l'en-tête CEF
.
{"alertType": "Reputation block outbound request: malicious URL","threatId": "T1598.003","threatName": "Spearphishing Link",}
{"alertType": "Remote Backup Failed", "threatId": "T1020","threatName": "Automated Exfiltration",},
{"alertType": "Reputation block outbound request: malicious URL","threatId": "T1598.003","threatName": "Spearphishing Link",}
{"alertType": "IPS block: cryptomining & blockchain traffic","threatId": "T1496","threatName": "Resource Hijacking",}
{"alertType": "Reputation block outbound request: phishing site","threatId": "T1566","threatName": "Phishing",}
{"alertType": "RDP Allow","threatId": "T1021.001","threatName": "Remote Desktop Protocol",}
{"alertType": "IPS block outbound request: cross-site scripting (XSS) attack","threatId": "T1189","threatName": "Drive-by Compromise",}
{"alertType": "Malware block: malicious file","threatId": "T1204.002","threatName": "Malicious File",}
{"alertType": "Sandbox block inbound response: malicious file","threatId": "T1204.002","threatName": "Malicious File",}
{"alertType": "Not allowed non-RFC compliant HTTP traffic","threatId": "T1071","threatName": "Application Layer Protocol",}
{"alertType": "Not allowed to upload/download encrypted or password-protected archive files","threatId": "T1027","threatName": "Obfuscated Files or Information",}