Visão geral da integração da Aryaka

Você pode integrar o Aryaka ao Sophos Central para o envio de alertas à Sophos para análise.

Esta página lhe dá uma visão geral da integração.

Visão geral do produto Aryaka

Aryaka fornece Unified SASE como um Serviço, o que inclui conectividade de rede definida por software de ampla área, entrega de aplicativos e segurança de rede.

Documentação da Sophos

Integrar o Aryaka

O que ingerimos

Exemplos de alertas vistos pela Sophos:

• ET DNS Query for TLD-CODE TLD
• ET INFO Session Traversal Utilities for NAT (STUN Binding Response)
• ETPRO SCAN IPMI Get Authentication Request (DETAILS)

Filtragem

Filtramos mensagens da seguinte forma.

Filtro de Plataforma e Coletor de Log:

• Nós PERMITIMOS todos os alertas válidos que estão no formato JSON.
• Em seguida, DESCARTAMOS alertas contendo as strings de texto "\"message\":\"Aryaka Pre-SSL Flow Logs\"" ou "\"message\":\"Aryaka Post-SSL Flow Logs\"" devido ao altíssimo volume de mensagens.

Amostra de mapeamentos de ameaças

Definimos o tipo de alerta pelo campo fields.alert.signature. Também podemos fazer o fallback para fields.message no caso de logs de fluxo.

Exemplos de mapeamentos:

{"alertType": "ET DNS Query for TLD-CODE TLD", "threatId": "T1071.004", "threatName": "Application Layer Protocol: DNS"}
{"alertType": "ET INFO Session Traversal Utilities for NAT (STUN Binding Response)", "threatId": "T1599.001", "threatName": "Network Boundary Bridging: Network Address Translation Traversal"}
{"alertType": "ETPRO SCAN IPMI Get Authentication Request (DETAILS)", "threatId": "T1046", "threatName": "Network Service Scanning"}

Documentação do fornecedor

• Configure SIEM integration
• Flow log attributes for SIEM integration
• Security log attributes for SIEM integration