Aller au contenu
Découvrez comment nous prenons en charge MDR.

Intégration de Zscaler ZIA

Vous pouvez intégrer Zscaler ZIA (Zscaler Internet Access) à Sophos Central pour lui permettre d’envoyer des alertes à Sophos pour analyse.

Cette page vous donne une vue générale de l’intégration.

Présentation du produit Zscaler ZIA

Zscaler ZIA est une plate-forme SSE (Security Service Edge). ZIA surveille le Cloud et fournit un emplacement central pour les mises à jour des logiciels et des bases de données, pour les paramètres de stratégie et de configuration et pour les renseignements sur les menaces.

Documents Sophos

Intégrer Zscaler ZIA

Ce que nous ingérons

Exemples d’alertes concrètes :

  • Reputation block outbound request: malicious URL
  • Reputation block outbound request: phishing site
  • Not allowed non-RFC compliant HTTP traffic
  • Not allowed to upload/download encrypted or password-protected archive files
  • IPS block outbound request: cross-site scripting (XSS) attack
  • Remote Backup Failed
  • IPS block: cryptomining & blockchain traffic
  • RDP Allow
  • Malware block: malicious file
  • Sandbox block inbound response: malicious file

Nous en ingérons aussi beaucoup d’autres.

Alertes ingérées dans leur intégralité

Nous vous recommandons de configurer les catégories suivantes dans NSS (Nanolog streaming Service) :

  • Journaux du pare-feu Zscaler ZIA
  • Journaux web Zscaler ZIA
  • Journaux DNS Zscaler ZIA

Filtrage

Nous filtrons les alertes comme suit :

Sur le collecteur de journaux

Sur le collecteur de journaux, nous filtrons les éléments suivants :

  • Données mal formatées (CEF)
  • Journaux à volume élevé et à faible intérêt, par exemple journaux de trafic autorisé

Sur la plate-forme

Sur la plateforme, nous filtrons un certain nombre de journaux à volume élevé qui n’ont pas d'intérêt en tant qu'événements de sécurité, tels que :

  • Journaux d'accès aux stratégies, par exemple accès aux médias sociaux
  • Connexions autorisées par défaut dans les stratégies de pare-feu standard
  • Éléments triviaux à volume élevé, par exemple les journaux d'établissement de liaison SSL

Exemples de mappages de menaces

Les types d'alerte sont définis par le champ name sous l'en-tête CEF.

{"alertType": "Reputation block outbound request: malicious URL","threatId": "T1598.003","threatName": "Spearphishing Link",}
{"alertType": "Remote Backup Failed", "threatId": "T1020","threatName": "Automated Exfiltration",},
{"alertType": "Reputation block outbound request: malicious URL","threatId": "T1598.003","threatName": "Spearphishing Link",}
{"alertType": "IPS block: cryptomining & blockchain traffic","threatId": "T1496","threatName": "Resource Hijacking",}
{"alertType": "Reputation block outbound request: phishing site","threatId": "T1566","threatName": "Phishing",}
{"alertType": "RDP Allow","threatId": "T1021.001","threatName": "Remote Desktop Protocol",}
{"alertType": "IPS block outbound request: cross-site scripting (XSS) attack","threatId": "T1189","threatName": "Drive-by Compromise",}
{"alertType": "Malware block: malicious file","threatId": "T1204.002","threatName": "Malicious File",}
{"alertType": "Sandbox block inbound response: malicious file","threatId": "T1204.002","threatName": "Malicious File",}
{"alertType": "Not allowed non-RFC compliant HTTP traffic","threatId": "T1071","threatName": "Application Layer Protocol",}
{"alertType": "Not allowed to upload/download encrypted or password-protected archive files","threatId": "T1027","threatName": "Obfuscated Files or Information",}

Documentation fournisseur