Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=zscalerzia

Integrar Zscaler ZIA

Coletor de log Rede

Você deve ter o pacote de licença de integrações "Network" para usar esse recurso.

Você pode integrar o Zscaler ZIA ao Sophos Central para o envio de alertas à Sophos.

Essa integração usa um coletor de log hospedado em uma máquina virtual (VM). Juntos, eles são chamados de dispositivo de integração. O dispositivo recebe dados de terceiros e os envia ao Sophos Data Lake.

Esta página descreve a integração usando um dispositivo no ESXi ou Hyper-V. Se você quiser integrar usando um dispositivo na AWS, consulte Adicionar integrações na AWS.

Etapas principais

As principais etapas em uma integração são as seguintes:

  • Adicione uma integração ao Sophos Central. Nesta etapa, você cria uma imagem do dispositivo.
  • Baixe e implante a imagem na sua VM. Isso se torna o seu dispositivo.
  • Configure o Zscaler ZIA para enviar dados ao dispositivo.

Requisitos

Os dispositivos têm requisitos de acesso ao sistema e à rede. Para verificar se você os atende, consulte Requisitos do dispositivo.

Adicionar uma integração

Para adicionar uma integração, siga este procedimento:

  1. Em Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Marketplace.

  2. Clique em Zscaler ZIA.

    A página Zscaler ZIA é aberta. Você pode adicionar integrações aqui e ver uma lista daquelas que você já adicionou.

  3. Em Ingestão de dados (Alertas de segurança), clique em Adicionar configuração.

    Nota

    Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Fornecer seus detalhes de domínio e IP.

    Etapas de configuração de integração aparece.

Configurar o dispositivo

Em Etapas de configuração de integração, você pode configurar um novo dispositivo ou usar um existente.

Presumimos aqui que você queira configurar um novo dispositivo. Para fazer isso, crie uma imagem da seguinte forma:

  1. Insira um nome e uma descrição para a integração.
  2. Clique em Criar um novo dispositivo.
  3. Insira um nome e uma descrição para o dispositivo.
  4. Selecione a plataforma virtual. Atualmente, oferecemos suporte a VMware ESXi 6.7 Update 3 ou posterior e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou posterior.

  5. Especifique as configurações de IP das Portas de rede voltadas à Internet. Isso configura a interface de gerenciamento do dispositivo.

    • Selecione DHCP para atribuir o endereço IP automaticamente.

      Nota

      Se você selecionar DHCP, deverá reservar o endereço IP.

    • Selecione Manual para especificar as configurações de rede.

  6. Selecione a Versão de IP do syslog e insira o endereço IP de syslog.

    Você precisará desse endereço IP de syslog mais tarde, ao configurar o Zscaler ZIA para enviar dados ao seu dispositivo.

  7. Em Protocolo, selecione TCP.

    Ao configurar a Zscaler ZIA para enviar dados ao seu dispositivo, você deve se certificar de que está usando o mesmo protocolo.

  8. Clique em Salvar.

    Nós criamos a integração e ela aparece na sua lista.

    Nos detalhes de integração, você pode ver o número da porta do dispositivo. Você precisará dele mais tarde, ao configurar a Zscaler ZIA para enviar dados.

    Pode levar alguns minutos para que a imagem do dispositivo fique pronta.

Implantar o dispositivo

Restrição

Se estiver usando o ESXi, o arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Se for necessário implementar outra VM, você deve criar um arquivo OVA novamente no Sophos Central.

Use a imagem para implantar o dispositivo da seguinte forma:

  1. Na lista de integrações, em Ações, clique na ação de download para a sua plataforma, por exemplo, Baixar OVA para ESXi.
  2. Quando o download da imagem for concluído, implante-a em sua VM. Consulte Implantar dispositivos.

Configurar o Zscaler ZIA

Configure o Zscaler ZIA para enviar dados à Sophos. Isso envolve estes passos principais:

  • Configurar um servidor NSS (Nanolog Streaming Service).
  • Encaminhar logs do firewall.
  • Encaminhar logs da Web.
  • Encaminhar logs de DNS.

Nota

Você pode configurar várias instâncias do Zscaler ZIA para enviar dados para a Sophos através do mesmo dispositivo. Depois de concluir a integração, repita as etapas nesta seção para suas outras instâncias do Zscaler ZIA. Você não precisa repetir as etapas no Sophos Central.

Configurar um servidor NSS

Configure e implante um servidor NSS.

Recomendamos a implantação de instâncias do NSS para Web e do NSS para Firewall. Isso garante que você capture todos os tipos de alerta relevantes. Na maioria dos casos, você deve implantá-las no local para que você possa encaminhar o syslog para o coletor de log Sophos em seu ambiente.

  1. Entre na interface de administração da Web do Zscaler NSS com permissões de administrador.
  2. Clique em Administration > Settings > Nanolog Streaming Service.
  3. Siga os passos para dimensionar o dispositivo NSS. Assista a What to know: NSS.
  4. Clique em Add NSS Server.
  5. Digite um nome para identificá-lo como um servidor NSS para o streaming de eventos para a Sophos.

  6. Em Type, selecione NSS para Web ou NSS para Firewall.

    Recomendamos a implantação de um de cada.

  7. Defina Status como Enabled.

  8. Clique em Salvar.
  9. Baixe e implante a imagem na sua plataforma, por exemplo, VMware ou AWS.

Para obter mais detalhes, consulte Understanding Nanolog Streaming Service (NSS).

Para obter guias de implantação específicos, consulte Nanolog Streaming Service.

Em seguida, configure o NSS para encaminhar cada tipo de log que você deseja.

Encaminhar logs do firewall

Configure o Zscaler NSS para enviar logs do firewall da seguinte forma:

  1. Entre na interface de administração da Web do Zscaler NSS com permissões de administrador.
  2. Clique em Administration > Settings > Nanolog Streaming Service.
  3. Clique na guia NSS Feeds.
  4. Clique em Add NSS Feed.

  5. Na caixa de diálogo Edit NSS Feed, defina estas configurações:

    1. Feed Name: Insira um nome descritivo para o feed.
    2. NSS Type: Selecione NSS for Firewall.
    3. NSS Server: Selecione o NSS para o servidor de Firewall.
    4. Status: Clique em Enabled.
    5. SIEM IP Address: Insira o endereço IP de syslog especificado anteriormente no Sophos Central.
    6. SIEM TCP Port: Insira a porta que foi gerada para você anteriormente no Sophos Central.
    7. Log Type: Clique em Firewall Logs.
    8. Firewall Log Type: Clique em Both Session and Aggregate Logs.
    9. Feed Output Type: Selecione Custom.

    10. Feed Output Format: Clique no ícone Copiar Ícone de cópia. na extremidade direita da string abaixo para copiá-la. Em seguida, cole-a no campo.

      %s{mon} %02d{dd} %02d{hh}:%02d{mm}:%02d{ss} zscaler-nss-fw CEF:0|Zscaler|NSSFWlog|5.7|%s{action}|%s{rulelabel}|3| act=%s{action} suser=%s{login} src=%s{csip} spt=%d{csport} dst=%s{cdip} dpt=%d{cdport} deviceTranslatedAddress=%s{ssip} deviceTranslatedPort=%d{ssport} destinationTranslatedAddress=%s{sdip} destinationTrans latedPort=%d{sdport} sourceTranslatedAddress=%s{tsip} sourceTranslatedPort=%d{tsport} proto=%s{ipproto} tunnelType=%s{ttype} dnat=%s{dnat} stateful=%s{stateful} spriv=%s{location} reason=%s{rulelabel} in=%ld{inbytes} out=%ld{outbytes} deviceDirection=1 cs1=%s{dept} cs1Label=dept cs2=%s{nwsvc} cs2Label=nwService cs3=%s{nwapp} cs3Label=nwApp cs4=%s{aggregate} cs4Label=aggregated cs5=%s{threatcat} cs5Label=threatcat cs6=%s{threatname} cs6label=threatname cn1=%d{durationms} cn1Label=durationms cn2=%d{numsessions} cn2Label=numsessions cs5Label=ipCat cs5=%s{ipcat} destCountry=%s{destcountry} avgduration=%d{avgduration}\n

    11. Duplicate Logs: Selecione Disabled.

    12. Para os campos restantes, mantenha os valores padrão.
    13. Clique em Salvar.

Encaminhar logs da Web

Configure o Zscaler para enviar logs da Web da seguinte forma:

  1. Entre na interface de administração da Web do Zscaler NSS com permissões de administrador.
  2. Clique em Administration > Settings > Nanolog Streaming Service.
  3. Clique na guia NSS Feeds.
  4. Clique em Add NSS Feed.

  5. Na caixa de diálogo Edit NSS Feed, defina estas configurações:

    1. Feed Name: Insira um nome descritivo para o feed.
    2. NSS Server: Selecione o NSS para o servidor Web.
    3. Status: Clique em Enabled.
    4. SIEM IP Address: Insira o endereço IP de syslog especificado anteriormente no Sophos Central.
    5. SIEM TCP Port: Insira a porta que foi gerada para você anteriormente no Sophos Central.
    6. Log Type: Clique em Web Log.

    7. Feed Output Type: Clique no ícone Copiar Ícone de cópia. na extremidade direita da string abaixo para copiá-la. Em seguida, cole-a no campo.

      %s{mon} %02d{dd} %02d{hh}:%02d{mm}:%02d{ss} zscaler-nss CEF:0|Zscaler|NSSWeblog|5.7|%s{action}|%s{reason}|3| act=%s{action} reason=%s{reason} app=%s{proto} dhost=%s{ehost} dst=%s{sip} src=%s{cip} sourceTranslatedAddress=%s{cintip} in=%d{respsize} out=%d{reqsize} request=%s{eurl} requestContext=%s{ereferer} outcome=%s{respcode} requestClientApplication=%s{ua} requestMethod=%s{reqmethod} suser=%s{login} spriv=%s{location} externalId=%d{recordid} fileType=%s{filetype} destinationServiceNam e=%s{appname} cat=%s{urlcat} deviceDirection=1 cn1=%d{riskscore} cn1Label=riskscore cs1=%s{dept} cs1Label=dept cs2=%s{urlcat} cs2Label=urlcat cs3=%s{malwareclass} cs3Label=malwareclass cs4=%s{malwarecat} cs4Label=malwarecat cs5=%s{threatname} cs5Label=threatname cs6Label=%s{bamd5} cs6=md5hash rulelabel=%s{rulelabel} ruletype=%s{ruletype} urlclass=%s{urlclass} devicemodel=%s{devicemodel}\n

    8. Para os campos restantes, mantenha os valores padrão.

    9. Clique em Salvar.

Encaminhar logs de DNS

Configure o Zscaler para enviar logs de DNS da seguinte forma:

  1. Entre na interface de administração da Web do Zscaler NSS com permissões de administrador.
  2. Clique em Administration > Settings > Nanolog Streaming Service.
  3. Clique na guia NSS Feeds.
  4. Clique em Add NSS Feed.

  5. Na caixa de diálogo Edit NSS Feed, defina estas configurações:

    1. Feed Name: Insira um nome descritivo para o feed.
    2. NSS Type: Selecione NSS for Firewall.
    3. NSS Server: Selecione uma de suas instâncias do servidor NSS.
    4. Status: Clique em Enabled.
    5. SIEM IP Address: Insira o endereço IP de syslog especificado anteriormente no Sophos Central.
    6. SIEM TCP Port: Insira a porta que foi gerada para você anteriormente no Sophos Central.
    7. Log Type: Clique em DNS Logs.
    8. Feed Output Type: Selecione Custom.

    9. Feed Output Format: Clique no ícone Copiar Ícone de cópia. na extremidade direita da string abaixo para copiá-la. Em seguida, cole-a no campo.

      %s{mon} %02d{dd} %02d{hh}:%02d{mm}:%02d{ss} zscaler-nss-fw CEF:0|Zscaler|NSSDNSlog|5.7|%s{action}|%s{rulelabel}|3| suser=%s{login} cs1=%s{dept} cs1Label=department cs2=%s{reqaction} cs2Label=reqaction cs3=%s{resaction} cs3Label=resaction cs4=%s{reqtype} cs4Label=dns_reqtype cs5=%s{req} cs5Label=dns_req cs6=%s{res} cs6Label=dns_resp cn1=%d{durationms} cn1Label=durationms flexString1=%s{reqrulelabel} flexString1Label=reqrulelabel flexString2=%s{resrulelabel} flexString2Label=resrulelabel cat=%s{domcat} src=%s{cip} dst=%s{sip} dpt=%d{sport} spriv=%s{location} suid=%s{deviceowner} dvchost=%s{devicehostname}\n

    10. Duplicate Logs: Selecione Disabled.

    11. Para os campos restantes, mantenha os valores padrão.
    12. Clique em Salvar.