集成Zscaler Zia
要使用此功能,您必須擁有「網路」整合授權套件。
您可以將 Zscaler ZIA 與 Sophos Central 整合,以便將警示傳送到 Sophos。
此整合使用虛擬機 (VM) 上託管的記錄收集器。它們一起被稱為設備。設備接收協力廠商資料,並將資料傳送到 Sophos Data Lake。
此頁面介紹使用ESXi或Hyper-V上的設備進行集成 如果要使用AWS上的設備進行集成,請參閱 AWS上的集成。
關鍵步驟
設定整合的主要步驟如下:
- 在 Sophos Central 中新增整合。在此步驟中,您將創建設備的映像。
- 在 VM 上下載並部署映像。這將成為您的設備。
- 設定 Zscaler ZIA 以將資料傳送到設備。
需求
設備具有系統和網路存取要求。要檢查您是否滿足這些要求,請參閱 設備要求。
新增整合
若要新增整合,請依照以下步驟操作:
- 在 Sophos Central 中,移至威脅分析中心 > 整合 > 市場。
-
單擊 Zscaler Zia。
此時將打開Zscaler Zia頁面。您可以在此處設定整合並查看已設定的所有整合清單。
-
在資料擷取(安全警示)中,按一下新增設定。
注意
如果這是您新增的第一個整合,我們可能會要求您提供內部網域和 IP 的詳細資料。請參閱我的網域和 IP。
螢幕上將顯示整合設定步驟。
配置設備
在 集成設定步驟中,您可以配置新設備或使用現有設備。
我們假定您在此配置新設備。要執行此操作,請按以下步驟創建映像:
- 輸入整合的名稱和說明。
- 按一下建立新設備。
- 輸入設備的名稱和說明。
- 選取虛擬平台。目前我們支援 VMware ESXi 6.7 Update 3 或更新版本以及 Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) 或更新版本。
-
指定面向網際網路的網路連接埠的 IP 設定。這將為 VM 設定管理介面。
-
選取 DHCP 可自動指派 IP 位址。
注意
如果選取 DHCP,則必須保留 IP 位址。
-
選取手動以指定網路設定。
-
-
選取 Syslog IP 版本並輸入 Syslog IP 位址。
稍後設定 Zscaler ZIA 以向設備傳送資料時,您將需要該 syslog IP 位址。
-
在 Protocol (協議)中,選擇 TCP。
當您設定 Zscaler ZIA 以傳送資料至設備時,您必須確保其使用相同的通訊協定。
-
按一下儲存。
我們會建立整合,整合會顯示在您的清單中。
在整合詳細資料中,您可以看到設備的連接埠號。稍後設定 Zscaler ZIA 以向其傳送資料時,您將需要該編號。
VM 映像可能需要幾分鐘的時間才能準備就緒。
部署設備
限制
如果您使用的是 ESXi,則 OVA 檔案透過 Sophos Central 驗證,因此只能使用一次。如果必須部署其他 VM,則必須在 Sophos Central 中重新建立 OVA 檔案。
使用映像部署設備,如下所示:
- 在整合清單的動作中,按一下適用於您的平台的下載動作,例如,若是 ESXi,則按一下下載 OVA。
- 映像下載完成後,請將其部署在 VM 上。請參閱部署設備。
配置Zscaler Zia
設定 Zscaler ZIA 以將資料傳送到設備。這包括以下主要步驟:
- 配置Nanolog Streaming Service (NSS)伺服器。
- 轉發防火牆日誌。
- 轉發Web日誌。
- 轉發DNS日誌。
注意
您可以配置Zscaler Zia的多個實例,以便通過同一設備向Sophos發送數據。完成集成後,對Zscaler Zia的其他實例重複本節中的步驟。您不需要重複Sophos Central中的步驟。
配置NSS伺服器
配置和部署NSS伺服器。
我們建議部署NSS for Web和NSS for Firewall的實例。這可確保您捕獲所有相關警報類型。在大多數情況下,應在本地部署這些系統,以便可以將syslog轉發到環境中的Sophos日誌收集器。
- 使用管理員權限登入到Zscaler NSS Web管理界面。
- 單擊 管理 > 設置 > Nanolog流服務。
- 按照步驟調整NSS設備的大小。查看 須知:NSS。
- 單擊 添加NSS伺服器。
- 輸入一個名稱,將其標識為NSS伺服器,以便將事件流化到Sophos。
-
在 類型中,為Web選擇NSS或為防火牆選擇NSS。
我們建議每個部署一個。
-
set status enable
- 按一下儲存。
- 下載映像並將其部署到平台,例如VMware或AWS。
有關更多詳細信息,請參見 Understanding Nanolog Streaming Service (NSS)。
有關具體的部署指南,請參閱 Nanolog Streaming Service。
接下來,配置NSS以轉發所需的每種日誌類型。
轉發防火牆日誌
配置Zscaler NSS以發送防火牆日誌,如下所示:
- 使用管理員權限登入到Zscaler NSS Web管理界面。
- 單擊 管理 > 設置 > Nanolog流服務。
- 單擊"NSS 源" 選項卡。
- 單擊 添加NSS源。
-
在" 編輯NSS源 "對話框中,配置以下設定:
- 訂閱源名稱:為存取點輸入描述性名稱。
- NSS類型: 爲防火牆選擇NSS。
- NSS伺服器:選擇防火牆伺服器的NSS。
- 狀態:按一下已啟用。
- SIEM IP地址:輸入您先前在Sophos Central中指定的syslog IP地址。
- SIEM TCP埠:輸入先前在Sophos Central中為您生成的埠。
- 日誌類型:單擊 防火牆日誌。
- 防火牆日誌類型:單擊“ Session (會話)”和“
- 進紙輸出類型:選擇客戶
-
送紙輸出格式:單擊 下麵字元串最右側的復制圖標以復制該字元串。然後將其粘跕到欄位中。
%s{mon} %02d{dd} %02d{hh}:%02d{mm}:%02d{ss} zscaler-nss-fw CEF:0|Zscaler|NSSFWlog|5.7|%s{action}|%s{rulelabel}|3| act=%s{action} suser=%s{login} src=%s{csip} spt=%d{csport} dst=%s{cdip} dpt=%d{cdport} deviceTranslatedAddress=%s{ssip} deviceTranslatedPort=%d{ssport} destinationTranslatedAddress=%s{sdip} destinationTrans latedPort=%d{sdport} sourceTranslatedAddress=%s{tsip} sourceTranslatedPort=%d{tsport} proto=%s{ipproto} tunnelType=%s{ttype} dnat=%s{dnat} stateful=%s{stateful} spriv=%s{location} reason=%s{rulelabel} in=%ld{inbytes} out=%ld{outbytes} deviceDirection=1 cs1=%s{dept} cs1Label=dept cs2=%s{nwsvc} cs2Label=nwService cs3=%s{nwapp} cs3Label=nwApp cs4=%s{aggregate} cs4Label=aggregated cs5=%s{threatcat} cs5Label=threatcat cs6=%s{threatname} cs6label=threatname cn1=%d{durationms} cn1Label=durationms cn2=%d{numsessions} cn2Label=numsessions cs5Label=ipCat cs5=%s{ipcat} destCountry=%s{destcountry} avgduration=%d{avgduration}\n
-
重複日誌:選擇 禁用。
- 對於其餘欄位,保留預設值。
- 按一下儲存。
轉發Web日誌
配置Zscaler以發送Web日誌,如下所示:
- 使用管理員權限登入到Zscaler NSS Web管理界面。
- 單擊 管理 > 設置 > Nanolog流服務。
- 單擊"NSS 源" 選項卡。
- 單擊 添加NSS源。
-
在" 編輯NSS源 "對話框中,配置以下設定:
- 訂閱源名稱:為存取點輸入描述性名稱。
- NSS伺服器:選擇萬維網服務器的NSS。
- 狀態:按一下已啟用。
- SIEM IP地址:輸入您先前在Sophos Central中指定的syslog IP地址。
- SIEM TCP埠:輸入先前在Sophos Central中為您生成的埠。
- 日誌類型:單擊 Web日誌。
-
進紙輸出類型:單擊 下麵字元串最右側的復制圖標以復制該字元串。然後將其粘跕到欄位中。
%s{mon} %02d{dd} %02d{hh}:%02d{mm}:%02d{ss} zscaler-nss CEF:0|Zscaler|NSSWeblog|5.7|%s{action}|%s{reason}|3| act=%s{action} reason=%s{reason} app=%s{proto} dhost=%s{ehost} dst=%s{sip} src=%s{cip} sourceTranslatedAddress=%s{cintip} in=%d{respsize} out=%d{reqsize} request=%s{eurl} requestContext=%s{ereferer} outcome=%s{respcode} requestClientApplication=%s{ua} requestMethod=%s{reqmethod} suser=%s{login} spriv=%s{location} externalId=%d{recordid} fileType=%s{filetype} destinationServiceNam e=%s{appname} cat=%s{urlcat} deviceDirection=1 cn1=%d{riskscore} cn1Label=riskscore cs1=%s{dept} cs1Label=dept cs2=%s{urlcat} cs2Label=urlcat cs3=%s{malwareclass} cs3Label=malwareclass cs4=%s{malwarecat} cs4Label=malwarecat cs5=%s{threatname} cs5Label=threatname cs6Label=%s{bamd5} cs6=md5hash rulelabel=%s{rulelabel} ruletype=%s{ruletype} urlclass=%s{urlclass} devicemodel=%s{devicemodel}\n
-
對於其餘欄位,保留預設值。
- 按一下儲存。
轉發DNS日誌
配置Zscaler以發送DNS日誌,如下所示:
- 使用管理員權限登入到Zscaler NSS Web管理界面。
- 單擊 管理 > 設置 > Nanolog流服務。
- 單擊"NSS 源" 選項卡。
- 單擊 添加NSS源。
-
在" 編輯NSS源 "對話框中,配置以下設定:
- 訂閱源名稱:為存取點輸入描述性名稱。
- NSS類型: 爲防火牆選擇NSS。
- NSS伺服器:選擇一個NSS伺服器實例。
- 狀態:按一下已啟用。
- SIEM IP地址:輸入您先前在Sophos Central中指定的syslog IP地址。
- SIEM TCP埠:輸入先前在Sophos Central中為您生成的埠。
- 日誌類型:單擊 DNS日誌。
- 進紙輸出類型:選擇客戶
-
送紙輸出格式:單擊 下麵字元串最右側的復制圖標以復制該字元串。然後將其粘跕到欄位中。
%s{mon} %02d{dd} %02d{hh}:%02d{mm}:%02d{ss} zscaler-nss-fw CEF:0|Zscaler|NSSDNSlog|5.7|%s{action}|%s{rulelabel}|3| suser=%s{login} cs1=%s{dept} cs1Label=department cs2=%s{reqaction} cs2Label=reqaction cs3=%s{resaction} cs3Label=resaction cs4=%s{reqtype} cs4Label=dns_reqtype cs5=%s{req} cs5Label=dns_req cs6=%s{res} cs6Label=dns_resp cn1=%d{durationms} cn1Label=durationms flexString1=%s{reqrulelabel} flexString1Label=reqrulelabel flexString2=%s{resrulelabel} flexString2Label=resrulelabel cat=%s{domcat} src=%s{cip} dst=%s{sip} dpt=%d{sport} spriv=%s{location} suid=%s{deviceowner} dvchost=%s{devicehostname}\n
-
重複日誌:選擇 禁用。
- 對於其餘欄位,保留預設值。
- 按一下儲存。