Panoramica dell’integrazione Aryaka

Aryaka può essere integrato con Sophos Central in modo da inviare avvisi a Sophos, a scopo di analisi.

Questa pagina fornisce una panoramica dell’integrazione.

Panoramica del prodotto Aryaka

Aryaka fornisce SASE unificato as-a-Service, che include connettività Software-Defined Wide Area Network (SD-WAN), distribuzione delle applicazioni e protezione della rete.

Documenti Sophos

Integrazione di Aryaka

I dati raccolti e inseriti

Esempi di avvisi visualizzati da Sophos:

• ET DNS Query for TLD-CODE TLD
• ET INFO Session Traversal Utilities for NAT (STUN Binding Response)
• ETPRO SCAN IPMI Get Authentication Request (DETAILS)

Filtraggio

Filtriamo i messaggi come indicato di seguito.

Filtro della piattaforma e Agente di raccolta log:

• Vengono AUTORIZZATI tutti gli avvisi validi che sono in formato JSON.
• Successivamente, RILASCIAMO gli avvisi che contengono le stringhe di testo "\"message\":\"Aryaka Pre-SSL Flow Logs\"" o "\"message\":\"Aryaka Post-SSL Flow Logs\"", a causa dell’elevato volume di messaggi.

Esempi di mapping delle minacce

Il tipo di avviso viene definito in base al campo fields.alert.signature. Possiamo inoltre utilizzare fields.message come fallback, nel caso dei log di flusso.

Mapping di esempio:

{"alertType": "ET DNS Query for TLD-CODE TLD", "threatId": "T1071.004", "threatName": "Application Layer Protocol: DNS"}
{"alertType": "ET INFO Session Traversal Utilities for NAT (STUN Binding Response)", "threatId": "T1599.001", "threatName": "Network Boundary Bridging: Network Address Translation Traversal"}
{"alertType": "ETPRO SCAN IPMI Get Authentication Request (DETAILS)", "threatId": "T1046", "threatName": "Network Service Scanning"}

Documentazione del vendor

• Configure SIEM integration
• Flow log attributes for SIEM integration
• Security log attributes for SIEM integration