Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=zscalerzia

Integrazione di Zscaler ZIA

Agente di raccolta log Rete

Per utilizzare questa funzionalità, occorre un pacchetto di licenza per l’integrazione “Rete”.

Zscaler ZIA può essere integrato con Sophos Central per l’invio di avvisi a Sophos.

Questa integrazione utilizza un agente di raccolta log ospitato su una virtual machine (VM). Insieme, vengono chiamati “appliance di integrazione”. L’appliance riceve dati da prodotti di terze parti e li invia al Sophos Data Lake.

In questa pagina viene descritta l’integrazione mediante un’appliance su ESXi o Hyper-V. Se si desidera eseguire l’integrazione utilizzando un’appliance su AWS, vedere Aggiunta di integrazioni in AWS.

Passaggi principali

I passaggi principali in un’integrazione sono i seguenti:

  • Aggiungere un’integrazione in Sophos Central. In questo passaggio viene creata un’immagine dell’appliance.
  • Scaricare e distribuire l’immagine sulla propria VM. Questa diventa l’appliance.
  • Configurare Zscaler ZIA in modo che invii dati all’appliance.

Requisiti

Le appliance hanno requisiti specifici per l’accesso al sistema e alla rete. Per verificare che siano soddisfatti, vedere Requisiti dell’appliance.

Aggiunta di un’integrazione

Per aggiungere un’integrazione, procedere come segue:

  1. In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Marketplace.

  2. Cliccare su Zscaler ZIA.

    Si aprirà la pagina Zscaler ZIA. Qui è possibile aggiungere integrazioni e visualizzare un elenco delle integrazioni che sono già state aggiunte.

  3. In Inserimento dei dati (Avvisi di sicurezza), cliccare su Aggiungi configurazione.

    Nota

    Se questa è la prima integrazione aggiunta, chiederemo dei dettagli sui domini e sugli IP interni. Vedere Immissione dei dettagli di dominio e IP.

    Verranno visualizzati i Passaggi di configurazione dell’integrazione.

Configurazione dell’appliance

In Passaggi di configurazione dell’integrazione, è possibile configurare una nuova appliance o utilizzarne una esistente.

In queste istruzioni si presuppone che si stia configurando una nuova appliance. Per farlo, creare un’immagine procedendo come segue:

  1. Immettere un nome e una descrizione per l’integrazione.
  2. Cliccare su Crea nuova appliance.
  3. Inserire un nome e una descrizione per l’appliance.
  4. Selezionare la piattaforma virtuale. Attualmente supportiamo VMware ESXi 6.7 Update 3 o versione successiva e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) o versione successiva.

  5. Specificare le impostazioni dell’IP per le Porte di rete con connessione Internet. Verrà così configurata l’interfaccia di gestione per l’appliance.

    • Selezionare DHCP per assegnare automaticamente l’indirizzo IP.

      Nota

      Se si seleziona DHCP, occorrerà riservare l’indirizzo IP.

    • Selezionare Manuale per specificare le impostazioni di rete.

  6. Selezionare la Versione dell’IP del syslog e immettere l’indirizzo IP del syslog.

    L’indirizzo IP del syslog sarà necessario in un secondo momento, durante la configurazione di Zscaler ZIA per l’invio dei dati all’appliance.

  7. In Protocollo, selezionare TCP.

    Quando si configura Zscaler ZIA per l’invio dei dati all’appliance, è necessario assicurarsi che utilizzi lo stesso protocollo.

  8. Cliccare su Salva.

    L’integrazione verrà creata e visualizzata nell’elenco.

    Nei dettagli dell’integrazione, verrà visualizzato il numero di porta per l’appliance. Sarà necessario in un secondo momento, durante la configurazione di Zscaler ZIA per l’invio dei dati a quell’agente di raccolta dati.

    Potrebbero trascorrere alcuni minuti prima che l’immagine dell’appliance sia pronta.

Distribuzione dell’appliance

Restrizione

Per ESXi, il file OVA viene verificato con Sophos Central, quindi può essere utilizzato una sola volta. Se si deve distribuire un’altra VM, occorrerà ricreare il file OVA in Sophos Central.

Utilizzare l’immagine per distribuire l’appliance, procedendo come segue:

  1. Nell’elenco delle integrazioni, sotto Azioni, cliccare sull’azione di download corrispondente alla propria piattaforma, ad esempio Scarica OVA per ESXi.
  2. Al termine del download dell’immagine, distribuirla sulla propria VM. Vedere Distribuzione delle appliance.

Configurazione di Zscaler ZIA

Configurare Zscaler ZIA in modo che invii dati a Sophos. Questo processo implica le seguenti fasi principali:

  • Configurazione di un server Nanolog Streaming Service (NSS).
  • Inoltro dei log del firewall.
  • Inoltro dei log web.
  • Inoltro dei log DNS.

Nota

È possibile configurare più istanze di Zscaler ZIA per l’invio di dati a Sophos attraverso la stessa appliance. Una volta completata l’integrazione, ripetere i passaggi descritti in questa sezione per le altre istanze di Zscaler ZIA. Non è necessario ripetere i passaggi in Sophos Central.

Configurazione di un server NSS

Configurazione e distribuzione di un server NSS.

Consigliamo di distribuire sia istanze NSS for Web che istanze NSS for Firewall. In questo modo verranno acquisiti tutti i tipi di avvisi pertinenti. Nella maggior parte dei casi si consiglia di effettuare la distribuzione on-premise, in modo da poter inoltrare syslog all’agente di raccolta log Sophos nel proprio ambiente.

  1. Accedere all’interfaccia di amministrazione web di Zscaler NSS con autorizzazioni di amministrazione.
  2. Cliccare su Administration (Amministrazione) > Settings (Impostazioni) > Nanolog Streaming Service.
  3. Seguire i passaggi per scegliere il giusto dispositivo NSS. Vedere What to know: (Cosa occorre sapere:). NSS.
  4. Cliccare su Add NSS Server (Aggiungi server NSS).
  5. Inserire un nome per identificarlo come server NSS per la trasmissione di eventi a Sophos.

  6. In Type (Tipo), selezionare NSS for Web o NSS for Firewall.

    Si consiglia di distribuirne uno per tipo.

  7. Impostare lo Status (Stato) su Enabled (Abilitato).

  8. Cliccare su Save (Salva).
  9. Scaricare e distribuire l’immagine sulla propria piattaforma, ad esempio VMware o AWS.

Per maggiori dettagli, vedere Understanding Nanolog Streaming Service (NSS) (Capire Nanolog streaming Service (NSS)).

Per guide di distribuzione specifiche, vedere Nanolog Streaming Service.

Successivamente, occorre configurare NSS in modo che inoltri ogni tipo di log desiderato.

Inoltro dei log del firewall

Configurare Zscaler NSS in modo che invii log del firewall, procedendo come segue:

  1. Accedere all’interfaccia di amministrazione web di Zscaler NSS con autorizzazioni di amministrazione.
  2. Cliccare su Administration (Amministrazione) > Settings (Impostazioni) > Nanolog Streaming Service.
  3. Cliccare sulla scheda NSS Feeds (Feed NSS).
  4. Cliccare su Add NSS Feed (Aggiungi feed NSS).

  5. Nella finestra di dialogo Edit NSS Feed (Modifica feed NSS), configurare queste impostazioni:

    1. Feed Name (Nome del feed): inserire un nome descrittivo per il feed.
    2. NSS Type (Tipo di NSS): selezionare NSS for Firewall.
    3. NSS Server: selezionare il server NSS for Firewall.
    4. Status (Stato): Cliccare su Enabled (Abilitati).
    5. SIEM IP Address (Indirizzo IP SIEM): inserire l’indirizzo IP del syslog specificato precedentemente in Sophos Central.
    6. SIEM TCP Port (Porta TCP SIEM): inserire la porta generata precedentemente in Sophos Central.
    7. Log Type (Tipo di log): cliccare su Firewall Logs (Log del firewall).
    8. Firewall Log Type (Tipo di log del firewall): cliccare su Both Session and Aggregate Logs (Sia log di sessione che aggregati).
    9. Feed Output Type (Tipo di output per il feed): selezionare Custom (personalizzato).

    10. Feed Output Format (Formato dell’output per il feed): cliccare sull’icona di copia Icona di copia. all’estrema destra della stringa sottostante, per copiare la stringa. Successivamente, incollarla nel campo.

      %s{mon} %02d{dd} %02d{hh}:%02d{mm}:%02d{ss} zscaler-nss-fw CEF:0|Zscaler|NSSFWlog|5.7|%s{action}|%s{rulelabel}|3| act=%s{action} suser=%s{login} src=%s{csip} spt=%d{csport} dst=%s{cdip} dpt=%d{cdport} deviceTranslatedAddress=%s{ssip} deviceTranslatedPort=%d{ssport} destinationTranslatedAddress=%s{sdip} destinationTrans latedPort=%d{sdport} sourceTranslatedAddress=%s{tsip} sourceTranslatedPort=%d{tsport} proto=%s{ipproto} tunnelType=%s{ttype} dnat=%s{dnat} stateful=%s{stateful} spriv=%s{location} reason=%s{rulelabel} in=%ld{inbytes} out=%ld{outbytes} deviceDirection=1 cs1=%s{dept} cs1Label=dept cs2=%s{nwsvc} cs2Label=nwService cs3=%s{nwapp} cs3Label=nwApp cs4=%s{aggregate} cs4Label=aggregated cs5=%s{threatcat} cs5Label=threatcat cs6=%s{threatname} cs6label=threatname cn1=%d{durationms} cn1Label=durationms cn2=%d{numsessions} cn2Label=numsessions cs5Label=ipCat cs5=%s{ipcat} destCountry=%s{destcountry} avgduration=%d{avgduration}\n

    11. Duplicate Logs (Log duplicati): selezionare Disabled (disattivati).

    12. Per gli altri campi, mantenere i valori predefiniti.
    13. Cliccare su Save (Salva).

Inoltro dei log web

Configurare Zscaler in modo che invii log web, procedendo come segue:

  1. Accedere all’interfaccia di amministrazione web di Zscaler NSS con autorizzazioni di amministrazione.
  2. Cliccare su Administration (Amministrazione) > Settings (Impostazioni) > Nanolog Streaming Service.
  3. Cliccare sulla scheda NSS Feeds (Feed NSS).
  4. Cliccare su Add NSS Feed (Aggiungi feed NSS).

  5. Nella finestra di dialogo Edit NSS Feed (Modifica feed NSS), configurare queste impostazioni:

    1. Feed Name (Nome del feed): inserire un nome descrittivo per il feed.
    2. NSS Server: selezionare il server NSS for Web.
    3. Status (Stato): Cliccare su Enabled (Abilitati).
    4. SIEM IP Address (Indirizzo IP SIEM): inserire l’indirizzo IP del syslog specificato precedentemente in Sophos Central.
    5. SIEM TCP Port (Porta TCP SIEM): inserire la porta generata precedentemente in Sophos Central.
    6. Log Type (Tipo di log): Cliccare su Web Log (Log web).

    7. Feed Output Type (Tipo di output per il feed): cliccare sull’icona di copia Icona di copia. all’estrema destra della stringa sottostante, per copiare la stringa. Successivamente, incollarla nel campo.

      %s{mon} %02d{dd} %02d{hh}:%02d{mm}:%02d{ss} zscaler-nss CEF:0|Zscaler|NSSWeblog|5.7|%s{action}|%s{reason}|3| act=%s{action} reason=%s{reason} app=%s{proto} dhost=%s{ehost} dst=%s{sip} src=%s{cip} sourceTranslatedAddress=%s{cintip} in=%d{respsize} out=%d{reqsize} request=%s{eurl} requestContext=%s{ereferer} outcome=%s{respcode} requestClientApplication=%s{ua} requestMethod=%s{reqmethod} suser=%s{login} spriv=%s{location} externalId=%d{recordid} fileType=%s{filetype} destinationServiceNam e=%s{appname} cat=%s{urlcat} deviceDirection=1 cn1=%d{riskscore} cn1Label=riskscore cs1=%s{dept} cs1Label=dept cs2=%s{urlcat} cs2Label=urlcat cs3=%s{malwareclass} cs3Label=malwareclass cs4=%s{malwarecat} cs4Label=malwarecat cs5=%s{threatname} cs5Label=threatname cs6Label=%s{bamd5} cs6=md5hash rulelabel=%s{rulelabel} ruletype=%s{ruletype} urlclass=%s{urlclass} devicemodel=%s{devicemodel}\n

    8. Per gli altri campi, mantenere i valori predefiniti.

    9. Cliccare su Save (Salva).

Inoltro dei log DNS

Configurare Zscaler in modo che invii log DNS, procedendo come segue:

  1. Accedere all’interfaccia di amministrazione web di Zscaler NSS con autorizzazioni di amministrazione.
  2. Cliccare su Administration (Amministrazione) > Settings (Impostazioni) > Nanolog Streaming Service.
  3. Cliccare sulla scheda NSS Feeds (Feed NSS).
  4. Cliccare su Add NSS Feed (Aggiungi feed NSS).

  5. Nella finestra di dialogo Edit NSS Feed (Modifica feed NSS), configurare queste impostazioni:

    1. Feed Name (Nome del feed): inserire un nome descrittivo per il feed.
    2. NSS Type (Tipo di NSS): selezionare NSS for Firewall.
    3. NSS Server: selezionare una delle proprie istanze server NSS.
    4. Status (Stato): Cliccare su Enabled (Abilitati).
    5. SIEM IP Address (Indirizzo IP SIEM): inserire l’indirizzo IP del syslog specificato precedentemente in Sophos Central.
    6. SIEM TCP Port (Porta TCP SIEM): inserire la porta generata precedentemente in Sophos Central.
    7. Log Type (Tipo di log): cliccare su DNS Logs (Log DNS).
    8. Feed Output Type (Tipo di output per il feed): selezionare Custom (personalizzato).

    9. Feed Output Format (Formato dell’output per il feed): cliccare sull’icona di copia Icona di copia. all’estrema destra della stringa sottostante, per copiare la stringa. Successivamente, incollarla nel campo.

      %s{mon} %02d{dd} %02d{hh}:%02d{mm}:%02d{ss} zscaler-nss-fw CEF:0|Zscaler|NSSDNSlog|5.7|%s{action}|%s{rulelabel}|3| suser=%s{login} cs1=%s{dept} cs1Label=department cs2=%s{reqaction} cs2Label=reqaction cs3=%s{resaction} cs3Label=resaction cs4=%s{reqtype} cs4Label=dns_reqtype cs5=%s{req} cs5Label=dns_req cs6=%s{res} cs6Label=dns_resp cn1=%d{durationms} cn1Label=durationms flexString1=%s{reqrulelabel} flexString1Label=reqrulelabel flexString2=%s{resrulelabel} flexString2Label=resrulelabel cat=%s{domcat} src=%s{cip} dst=%s{sip} dpt=%d{sport} spriv=%s{location} suid=%s{deviceowner} dvchost=%s{devicehostname}\n

    10. Duplicate Logs (Log duplicati): selezionare Disabled (disattivati).

    11. Per gli altri campi, mantenere i valori predefiniti.
    12. Cliccare su Salva.