Zscaler ZIA の統合

Zscaler ZIA を Sophos Central と統合して、ソフォスに警告を送信することができます。

この統合では、仮想マシン (VM) 上にホストされているログコレクタを使用します。それらは共に統合アプライアンスと呼ばれています。アプライアンスはサードパーティのデータを受信し、Sophos Data Lake に送信します。

主な手順

統合の主な手順は、次のとおりです。

• Sophos Central に統合を追加します。この手順では、アプライアンスのイメージを作成します。
• イメージをダウンロードして VM に展開します。これがアプライアンスになります。
• アプライアンスにデータを送信するよう Zscaler ZIA を設定します。

要件

アプライアンスには、システムおよびネットワークアクセス要件があります。要件を満たしているかを確認するには、アプライアンスの要件を参照してください。

統合の追加

統合を追加するには、次の手順を実行します。

1. Sophos Central で、「脅威解析センター > 統合 > マーケットプレイス」に移動します。

2. 「Zscaler ZIA」をクリックします。

   「Zscaler ZIA」ページが開きます。ここで統合を追加し、既に追加されているすべてのリストを表示できます。

3. 「データの取り込み (セキュリティ警告)」で、 「設定の追加」をクリックします。

   注

   これが統合追加の初回である場合は、内部ドメインと IP の詳細の入力が必要になります。詳細は、ドメインと IP の詳細を入力するを参照してください。

   「統合のセットアップ手順」が表示されます。

アプライアンスの設定

「統合のセットアップ手順」では、新しいアプライアンスを設定するか、既存のアプライアンスを使用できます。

ここでは、新しいアプライアンスを設定すると想定します。これを行うには、次のようにイメージを作成します。

1. 統合名と説明を入力します。
2. 「新しいアプライアンスの作成」をクリックします。
3. アプライアンスの名前と説明を入力します。
4. 仮想プラットフォームを選択します。現在、VMware ESXi 6.7 Update 3 以降および Microsoft Hyper-V 6.0.6001.18016 （Windows Server 2016） 以降をサポートしています。

5. 「インターネットに接続するネットワークポート」の IP 設定を指定します。これによって、アプライアンスの管理インターフェースが設定されます。

   • IP アドレスを自動的に割り当てるには、「DHCP」を選択します。

     注

     「DHCP」を選択した場合は、IP アドレスを予約する必要があります。

   • ネットワーク設定を指定するには、「手動」を選択します。

6. 「Syslog IP バージョン」を選択し、「Syslog IP」アドレスを入力します。

   この syslog IP アドレスは、後で、データをアプライアンスに送信するように Zscaler ZIA を設定する際に必要になります。

7. 「プロトコル」で「TCP」を選択します。

   アプライアンスにデータを送信するように Zscaler ZIA を設定する場合は、必ず同じプロトコルを使用する必要があります。

8. 「保存」をクリックします。

   統合が作成され、リストに表示されます。

   統合の詳細に、アプライアンスのポート番号が表示されます。これは、後で、それにデータを送信するように Zscaler ZIA を設定する際に必要になります。

   アプライアンスのイメージの準備が完了するまで、数分かかることがあります。

アプライアンスの導入

イメージを使用してアプライアンスを導入します。

1. 統合のリストの「アクション」で、「OVA のダウンロード」など、プラットフォームのダウンロードアクションをクリックします。
2. イメージのダウンロードが完了したら、VM に導入します。詳細は、アプライアンスの導入を参照してください。

Zscaler ZIA の設定

アプライアンスにデータを送信するよう Zscaler ZIA を設定します。これには、次の主な手順が含まれます。

• Nanolog Streaming Service (NSS) サーバーを設定する。
• ファイアウォールログを転送する。
• Web ログを転送する。
• DNS ログを転送する。

NSS サーバーを設定する

NSS サーバーを設定して導入します。

NSS for Web と NSS for Firewall の両方のインスタンスを導入することをお勧めします。これにより、関連するすべての警告の種類を確実にキャプチャできます。ほとんどの場合、syslog を環境内のソフォスのログコレクタに転送できるように、オンプレミスで展開する必要があります。

1. 管理者権限を使用して Zscaler NSS Web 管理インターフェースにサインインします。
2. 「Administration > Settings > Nanolog Streaming Service」の順にクリックします。
3. 手順に従って NSS デバイスのサイズを設定します。詳細は、What to know: NSS をご覧ください。
4. 「Add NSS Server」をクリックします。
5. ソフォスにイベントをストリーミングするための NSS サーバーとして識別するための名前を入力します。

6. 「Type」で「NSS for Web」または「NSS for Firewall」を選択します。

   それぞれ 1つずつ配置することをお勧めします。

7. 「Status」を「Enabled」に設定します。

8. 「Save」をクリックします。
9. イメージをダウンロードして、VMware や AWS などのプラットフォームに展開します。

詳細については、Understanding Nanolog Streaming Service (NSS) を参照してください。

特定の導入ガイドについては、Nanolog Streaming Serviceを参照してください。

次に、必要な各種類のログを転送するように NSS を設定します。

ファイアウォールログの転送

次のように、ファイアウォールログを送信するように Zscaler NSS を設定します。

1. 管理者権限を使用して Zscaler NSS Web 管理インターフェースにサインインします。
2. 「Administration > Settings > Nanolog Streaming Service」の順にクリックします。
3. 「NSS Feeds」タブをクリックします。
4. 「Add NSS Feed」をクリックします。

5. 「Edit NSS Feed」ダイアログで、次の設定を行います。

   1. Feed Name: フィードの内容を示す名前を入力します。
   2. NSS Type: 「NSS for Firewall」を選択します。
   3. NSS Server: ファイアウォールサーバー向けの NSS を選択します。
   4. 状態: 「Enabled」をクリックします。
   5. SIEM IP Address: Sophos Central で上記で指定した syslog IP アドレスを入力します。
   6. SIEM TCP Port: Sophos Central で上記で指定した生成されたポートを入力します。
   7. Log Type: 「Firewall Logs」をクリックします。
   8. Firewall Log Type: 「Both Session and Aggregate Logs」をクリックします。
   9. Feed Output Type: 「Custom」を選択します

   10. Feed Output Format: 下の文字列の右端にあるコピーのアイコン をクリックして、文字列をコピーします。次に、フィールドに貼り付けます。

       %s{mon} %02d{dd} %02d{hh}:%02d{mm}:%02d{ss} zscaler-nss-fw CEF:0|Zscaler|NSSFWlog|5.7|%s{action}|%s{rulelabel}|3| act=%s{action} suser=%s{login} src=%s{csip} spt=%d{csport} dst=%s{cdip} dpt=%d{cdport} deviceTranslatedAddress=%s{ssip} deviceTranslatedPort=%d{ssport} destinationTranslatedAddress=%s{sdip} destinationTrans latedPort=%d{sdport} sourceTranslatedAddress=%s{tsip} sourceTranslatedPort=%d{tsport} proto=%s{ipproto} tunnelType=%s{ttype} dnat=%s{dnat} stateful=%s{stateful} spriv=%s{location} reason=%s{rulelabel} in=%ld{inbytes} out=%ld{outbytes} deviceDirection=1 cs1=%s{dept} cs1Label=dept cs2=%s{nwsvc} cs2Label=nwService cs3=%s{nwapp} cs3Label=nwApp cs4=%s{aggregate} cs4Label=aggregated cs5=%s{threatcat} cs5Label=threatcat cs6=%s{threatname} cs6label=threatname cn1=%d{durationms} cn1Label=durationms cn2=%d{numsessions} cn2Label=numsessions cs5Label=ipCat cs5=%s{ipcat} destCountry=%s{destcountry} avgduration=%d{avgduration}\n
       

   11. Duplicate Logs: 「Disabled」を選択します。

   12. 残りのフィールドについては、デフォルト値のままにします。
   13. 「Save」をクリックします。

Web ログの転送

Web ログを送信するように Zscaler を設定します。

1. 管理者権限を使用して Zscaler NSS Web 管理インターフェースにサインインします。
2. 「Administration > Settings > Nanolog Streaming Service」の順にクリックします。
3. 「NSS Feeds」タブをクリックします。
4. 「Add NSS Feed」をクリックします。

5. 「Edit NSS Feed」ダイアログで、次の設定を行います。

   1. Feed Name: フィードの内容を示す名前を入力します。
   2. NSS Server: Web サーバー用の NSS を選択します。
   3. 状態: 「Enabled」をクリックします。
   4. SIEM IP Address: Sophos Central で上記で指定した syslog IP アドレスを入力します。
   5. SIEM TCP Port: Sophos Central で上記で指定した生成されたポートを入力します。
   6. Log Type: 「Web Log」をクリックします。

   7. Feed Output Type: 下の文字列の右端にあるコピーのアイコン をクリックして、文字列をコピーします。次に、フィールドに貼り付けます。

      %s{mon} %02d{dd} %02d{hh}:%02d{mm}:%02d{ss} zscaler-nss CEF:0|Zscaler|NSSWeblog|5.7|%s{action}|%s{reason}|3| act=%s{action} reason=%s{reason} app=%s{proto} dhost=%s{ehost} dst=%s{sip} src=%s{cip} sourceTranslatedAddress=%s{cintip} in=%d{respsize} out=%d{reqsize} request=%s{eurl} requestContext=%s{ereferer} outcome=%s{respcode} requestClientApplication=%s{ua} requestMethod=%s{reqmethod} suser=%s{login} spriv=%s{location} externalId=%d{recordid} fileType=%s{filetype} destinationServiceNam e=%s{appname} cat=%s{urlcat} deviceDirection=1 cn1=%d{riskscore} cn1Label=riskscore cs1=%s{dept} cs1Label=dept cs2=%s{urlcat} cs2Label=urlcat cs3=%s{malwareclass} cs3Label=malwareclass cs4=%s{malwarecat} cs4Label=malwarecat cs5=%s{threatname} cs5Label=threatname cs6Label=%s{bamd5} cs6=md5hash rulelabel=%s{rulelabel} ruletype=%s{ruletype} urlclass=%s{urlclass} devicemodel=%s{devicemodel}\n
      

   8. 残りのフィールドについては、デフォルト値のままにします。

   9. 「Save」をクリックします。

DNS ログの転送

DNS ログを送信するように Zscaler を設定します。

1. 管理者権限を使用して Zscaler NSS Web 管理インターフェースにサインインします。
2. 「Administration > Settings > Nanolog Streaming Service」の順にクリックします。
3. 「NSS Feeds」タブをクリックします。
4. 「Add NSS Feed」をクリックします。

5. 「Edit NSS Feed」ダイアログで、次の設定を行います。

   1. Feed Name: フィードの内容を示す名前を入力します。
   2. NSS Type: 「NSS for Firewall」を選択します。
   3. NSS Server: NSS サーバーインスタンスの 1つを選択します。
   4. 状態: 「Enabled」をクリックします。
   5. SIEM IP Address: Sophos Central で上記で指定した syslog IP アドレスを入力します。
   6. SIEM TCP Port: Sophos Central で上記で指定した生成されたポートを入力します。
   7. Log Type: 「DNS Logs」をクリックします。
   8. Feed Output Type: 「Custom」を選択します

   9. Feed Output Format: 下の文字列の右端にあるコピーのアイコン をクリックして、文字列をコピーします。次に、フィールドに貼り付けます。

      %s{mon} %02d{dd} %02d{hh}:%02d{mm}:%02d{ss} zscaler-nss-fw CEF:0|Zscaler|NSSDNSlog|5.7|%s{action}|%s{rulelabel}|3| suser=%s{login} cs1=%s{dept} cs1Label=department cs2=%s{reqaction} cs2Label=reqaction cs3=%s{resaction} cs3Label=resaction cs4=%s{reqtype} cs4Label=dns_reqtype cs5=%s{req} cs5Label=dns_req cs6=%s{res} cs6Label=dns_resp cn1=%d{durationms} cn1Label=durationms flexString1=%s{reqrulelabel} flexString1Label=reqrulelabel flexString2=%s{resrulelabel} flexString2Label=resrulelabel cat=%s{domcat} src=%s{cip} dst=%s{sip} dpt=%d{sport} spriv=%s{location} suid=%s{deviceowner} dvchost=%s{devicehostname}\n
      

   10. Duplicate Logs: 「Disabled」を選択します。

   11. 残りのフィールドについては、デフォルト値のままにします。
   12. 「Save」をクリックします。