주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.
MDR을 지원하는 방법에 대해 알아보십시오.

Zscaler Zia 통합

Sophos Central에 Zscaler ZIA (Zscaler Internet Access)를 통합하면 Sophos로 경고를 전송하여 분석할 수 있습니다.

이 페이지에서는 통합에 대한 개요를 제공합니다.

Zscaler Zia 제품 개요

Zscaler Zia는 SSE(Security Service Edge) 플랫폼입니다. ZIA는 클라우드를 모니터링하고 소프트웨어 및 데이터베이스 업데이트, 정책 및 구성 설정, 위협 인텔리전스를 위한 중심적인 위치를 제공합니다.

Sophos 문서

Zscaler Zia 통합

우리가 섭취하는 것

샘플 알림:

  • Reputation block outbound request: malicious URL
  • Reputation block outbound request: phishing site
  • Not allowed non-RFC compliant HTTP traffic
  • Not allowed to upload/download encrypted or password-protected archive files
  • IPS block outbound request: cross-site scripting (XSS) attack
  • Remote Backup Failed
  • IPS block: cryptomining & blockchain traffic
  • RDP Allow
  • Malware block: malicious file
  • Sandbox block inbound response: malicious file

우리는 또한 많은 다른 사람들을 섭취합니다.

알림이 완전히 수집됨

NSS(Nanolog Streaming Service)에서 다음 범주를 구성하는 것이 좋습니다.

  • Zscaler Zia 방화벽 로그
  • Zscaler Zia 웹 로그
  • Zscaler Zia DNS 로그

필터링

알림을 다음과 같이 필터링합니다.

로그 수집기에서

로그 수집기에서 다음을 필터링합니다.

  • 잘못된 형식의 데이터(CEF)
  • 허용된 트래픽 로그와 같은 대량의 저관심 로그

플랫폼에서

플랫폼에서는 다음을 비롯하여 보안 이벤트로 흥미롭지 않은 많은 양의 로그를 필터링합니다.

  • 정책 액세스 로그(예: 소셜 미디어 액세스)
  • 표준 방화벽 정책 내에서 기본적으로 허용되는 연결
  • SSL 핸드셰이크 로그와 같은 대량의 사소한 항목

위협 매핑 샘플

경고 유형은 name CEF 헤더의 필드로 정의됩니다.

{"alertType": "Reputation block outbound request: malicious URL","threatId": "T1598.003","threatName": "Spearphishing Link",}
{"alertType": "Remote Backup Failed", "threatId": "T1020","threatName": "Automated Exfiltration",},
{"alertType": "Reputation block outbound request: malicious URL","threatId": "T1598.003","threatName": "Spearphishing Link",}
{"alertType": "IPS block: cryptomining & blockchain traffic","threatId": "T1496","threatName": "Resource Hijacking",}
{"alertType": "Reputation block outbound request: phishing site","threatId": "T1566","threatName": "Phishing",}
{"alertType": "RDP Allow","threatId": "T1021.001","threatName": "Remote Desktop Protocol",}
{"alertType": "IPS block outbound request: cross-site scripting (XSS) attack","threatId": "T1189","threatName": "Drive-by Compromise",}
{"alertType": "Malware block: malicious file","threatId": "T1204.002","threatName": "Malicious File",}
{"alertType": "Sandbox block inbound response: malicious file","threatId": "T1204.002","threatName": "Malicious File",}
{"alertType": "Not allowed non-RFC compliant HTTP traffic","threatId": "T1071","threatName": "Application Layer Protocol",}
{"alertType": "Not allowed to upload/download encrypted or password-protected archive files","threatId": "T1027","threatName": "Obfuscated Files or Information",}

공급업체 설명서