Zscaler Zia 통합
Sophos Central에 Zscaler ZIA (Zscaler Internet Access)를 통합하면 Sophos로 경고를 전송하여 분석할 수 있습니다.
이 페이지에서는 통합에 대한 개요를 제공합니다.
Zscaler Zia 제품 개요
Zscaler Zia는 SSE(Security Service Edge) 플랫폼입니다. ZIA는 클라우드를 모니터링하고 소프트웨어 및 데이터베이스 업데이트, 정책 및 구성 설정, 위협 인텔리전스를 위한 중심적인 위치를 제공합니다.
Sophos 문서
우리가 섭취하는 것
샘플 알림:
Reputation block outbound request: malicious URL
Reputation block outbound request: phishing site
Not allowed non-RFC compliant HTTP traffic
Not allowed to upload/download encrypted or password-protected archive files
IPS block outbound request: cross-site scripting (XSS) attack
Remote Backup Failed
IPS block: cryptomining & blockchain traffic
RDP Allow
Malware block: malicious file
Sandbox block inbound response: malicious file
우리는 또한 많은 다른 사람들을 섭취합니다.
알림이 완전히 수집됨
NSS(Nanolog Streaming Service)에서 다음 범주를 구성하는 것이 좋습니다.
- Zscaler Zia 방화벽 로그
- Zscaler Zia 웹 로그
- Zscaler Zia DNS 로그
필터링
알림을 다음과 같이 필터링합니다.
로그 수집기에서
로그 수집기에서 다음을 필터링합니다.
- 잘못된 형식의 데이터(CEF)
- 허용된 트래픽 로그와 같은 대량의 저관심 로그
플랫폼에서
플랫폼에서는 다음을 비롯하여 보안 이벤트로 흥미롭지 않은 많은 양의 로그를 필터링합니다.
- 정책 액세스 로그(예: 소셜 미디어 액세스)
- 표준 방화벽 정책 내에서 기본적으로 허용되는 연결
- SSL 핸드셰이크 로그와 같은 대량의 사소한 항목
위협 매핑 샘플
경고 유형은 name
CEF
헤더의 필드로 정의됩니다.
{"alertType": "Reputation block outbound request: malicious URL","threatId": "T1598.003","threatName": "Spearphishing Link",}
{"alertType": "Remote Backup Failed", "threatId": "T1020","threatName": "Automated Exfiltration",},
{"alertType": "Reputation block outbound request: malicious URL","threatId": "T1598.003","threatName": "Spearphishing Link",}
{"alertType": "IPS block: cryptomining & blockchain traffic","threatId": "T1496","threatName": "Resource Hijacking",}
{"alertType": "Reputation block outbound request: phishing site","threatId": "T1566","threatName": "Phishing",}
{"alertType": "RDP Allow","threatId": "T1021.001","threatName": "Remote Desktop Protocol",}
{"alertType": "IPS block outbound request: cross-site scripting (XSS) attack","threatId": "T1189","threatName": "Drive-by Compromise",}
{"alertType": "Malware block: malicious file","threatId": "T1204.002","threatName": "Malicious File",}
{"alertType": "Sandbox block inbound response: malicious file","threatId": "T1204.002","threatName": "Malicious File",}
{"alertType": "Not allowed non-RFC compliant HTTP traffic","threatId": "T1071","threatName": "Application Layer Protocol",}
{"alertType": "Not allowed to upload/download encrypted or password-protected archive files","threatId": "T1027","threatName": "Obfuscated Files or Information",}