주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.
MDR을 지원하는 방법에 대해 알아보십시오.

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=aryaka-overview

Aryaka 통합 개요

Sophos Central에 Aryaka를 통합하면 Sophos로 경고를 전송하여 분석할 수 있습니다.

이 페이지에서는 통합에 대한 개요를 제공합니다.

Aryaka product overview

Aryaka는 광역 소프트웨어 정의 네트워킹 연결, 애플리케이션 전달 및 네트워크 보안을 포함한 USASEaS(Unified SASE as a Service)를 제공합니다.

Sophos 문서

아리아카를 통합하십시오.

수집되는 것

Sophos에서 볼 수 있는 샘플 경고:

  • ET DNS Query for TLD-CODE TLD
  • ET INFO Session Traversal Utilities for NAT (STUN Binding Response)
  • ETPRO SCAN IPMI Get Authentication Request (DETAILS)

필터링

경고는 다음과 같이 필터링됩니다.

플랫폼 필터 및 로그 수집기:

  • 우리는 JSON 형식의 모든 유효한 경보를 허용합니다.
  • 그럼 메시지 양이 매우 많기 때문에 텍스트 문자열 "\"message\":\"Aryaka Pre-SSL Flow Logs\"" 또는 "\"message\":\"Aryaka Post-SSL Flow Logs\""을(를) 포함하는 경보를 삭제합니다.

샘플 위협 매핑

우리는 fields.alert.signature 필드에 의해 경보 유형을 정의합니다. 플로우 로그의 경우 fields.message로 되돌아갈 수도 있습니다.

샘플 매핑:

{"alertType": "TLD-CODE TLD에 대한 ET DNS 쿼리", "위협 ID": "T1071.004", "threatName": "응용 프로그램 계층 프로토콜: DNS
{"alertType": ET INFO Session Traversal Utilities for NAT (STUN Binding Response) "T1599.001", "threatName": 네트워크 경계 교차: 네트워크 주소 변환
{"alertType": "ETPRO SCAN IPMI 인증 요청 가져오기 (세부 정보)", "위협 ID": "T1046", "threatName": "Network Service Scanning"}

공급업체 설명서

  • SIEM 통합 구성
  • SIEM 통합을 위한 Flow log 속성
  • SIEM 통합을 위한 보안 로그 속성