跳至內容
部分或全部頁面已經過機器翻譯。
了解我們如何支援MDR。

集成Zscaler Zia

要使用此功能,您必須擁有「網路」整合授權套件。

您可以將 Zscaler ZIA 與 Sophos Central 整合,以便將警示傳送到 Sophos。

此整合使用虛擬機 (VM) 上託管的記錄收集器。它們一起被稱為設備。設備接收協力廠商資料,並將資料傳送到 Sophos Data Lake。

此頁面介紹使用ESXi或Hyper-V上的設備進行集成 如果要使用AWS上的設備進行集成,請參閱 AWS上的集成

關鍵步驟

設定整合的主要步驟如下:

  • 在 Sophos Central 中新增整合。在此步驟中,您將創建設備的映像。
  • 在 VM 上下載並部署映像。這將成為您的設備。
  • 設定 Zscaler ZIA 以將資料傳送到設備。

需求

設備具有系統和網路存取要求。要檢查您是否滿足這些要求,請參閱 設備要求

新增整合

若要新增整合,請依照以下步驟操作:

  1. 在 Sophos Central 中,移至威脅分析中心 > 整合 > 市場
  2. 單擊 Zscaler Zia

    此時將打開Zscaler Zia頁面。您可以在此處設定整合並查看已設定的所有整合清單。

  3. 資料擷取(安全警示)中,按一下新增設定

    注意

    如果這是您新增的第一個整合,我們可能會要求您提供內部網域和 IP 的詳細資料。請參閱我的網域和 IP

    螢幕上將顯示整合設定步驟

配置設備

集成設定步驟中,您可以配置新設備或使用現有設備。

我們假定您在此配置新設備。要執行此操作,請按以下步驟創建映像:

  1. 輸入整合的名稱和說明。
  2. 按一下建立新設備
  3. 輸入設備的名稱和說明。
  4. 選取虛擬平台。目前我們支援 VMware ESXi 6.7 Update 3 或更新版本以及 Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) 或更新版本。
  5. 指定面向網際網路的網路連接埠的 IP 設定。這將為 VM 設定管理介面。

    • 選取 DHCP 可自動指派 IP 位址。

      注意

      如果選取 DHCP,則必須保留 IP 位址。

    • 選取手動以指定網路設定。

  6. 選取 Syslog IP 版本並輸入 Syslog IP 位址

    稍後設定 Zscaler ZIA 以向設備傳送資料時,您將需要該 syslog IP 位址。

  7. Protocol (協議)中,選擇 TCP

    當您設定 Zscaler ZIA 以傳送資料至設備時,您必須確保其使用相同的通訊協定。

  8. 按一下儲存

    我們會建立整合,整合會顯示在您的清單中。

    在整合詳細資料中,您可以看到設備的連接埠號。稍後設定 Zscaler ZIA 以向其傳送資料時,您將需要該編號。

    VM 映像可能需要幾分鐘的時間才能準備就緒。

部署設備

限制

如果您使用的是 ESXi,則 OVA 檔案透過 Sophos Central 驗證,因此只能使用一次。如果必須部署其他 VM,則必須在 Sophos Central 中重新建立 OVA 檔案。

使用映像部署設備,如下所示:

  1. 在整合清單的動作中,按一下適用於您的平台的下載動作,例如,若是 ESXi,則按一下下載 OVA
  2. 映像下載完成後,請將其部署在 VM 上。請參閱部署設備

配置Zscaler Zia

設定 Zscaler ZIA 以將資料傳送到設備。這包括以下主要步驟:

  • 配置Nanolog Streaming Service (NSS)伺服器。
  • 轉發防火牆日誌。
  • 轉發Web日誌。
  • 轉發DNS日誌。

注意

您可以配置Zscaler Zia的多個實例,以便通過同一設備向Sophos發送數據。完成集成後,對Zscaler Zia的其他實例重複本節中的步驟。您不需要重複Sophos Central中的步驟。

配置NSS伺服器

配置和部署NSS伺服器。

我們建議部署NSS for Web和NSS for Firewall的實例。這可確保您捕獲所有相關警報類型。在大多數情況下,應在本地部署這些系統,以便可以將syslog轉發到環境中的Sophos日誌收集器。

  1. 使用管理員權限登入到Zscaler NSS Web管理界面。
  2. 單擊 管理 > 設置 > Nanolog流服務
  3. 按照步驟調整NSS設備的大小。查看 須知:NSS
  4. 單擊 添加NSS伺服器
  5. 輸入一個名稱,將其標識為NSS伺服器,以便將事件流化到Sophos。
  6. 類型中,為Web選擇NSS或為防火牆選擇NSS。

    我們建議每個部署一個。

  7. set status enable

  8. 按一下儲存
  9. 下載映像並將其部署到平台,例如VMware或AWS。

有關更多詳細信息,請參見 Understanding Nanolog Streaming Service (NSS)

有關具體的部署指南,請參閱 Nanolog Streaming Service

接下來,配置NSS以轉發所需的每種日誌類型。

轉發防火牆日誌

配置Zscaler NSS以發送防火牆日誌,如下所示:

  1. 使用管理員權限登入到Zscaler NSS Web管理界面。
  2. 單擊 管理 > 設置 > Nanolog流服務
  3. 單擊"NSS 源" 選項卡。
  4. 單擊 添加NSS源
  5. 在" 編輯NSS源 "對話框中,配置以下設定:

    1. 訂閱源名稱:為存取點輸入描述性名稱。
    2. NSS類型爲防火牆選擇NSS
    3. NSS伺服器:選擇防火牆伺服器的NSS。
    4. 狀態:按一下已啟用
    5. SIEM IP地址:輸入您先前在Sophos Central中指定的syslog IP地址。
    6. SIEM TCP埠:輸入先前在Sophos Central中為您生成的埠。
    7. 日誌類型:單擊 防火牆日誌
    8. 防火牆日誌類型:單擊“ Session (會話)”和“
    9. 進紙輸出類型:選擇客戶
    10. 送紙輸出格式:單擊 復制圖標。 下麵字元串最右側的復制圖標以復制該字元串。然後將其粘跕到欄位中。

      %s{mon} %02d{dd} %02d{hh}:%02d{mm}:%02d{ss} zscaler-nss-fw CEF:0|Zscaler|NSSFWlog|5.7|%s{action}|%s{rulelabel}|3| act=%s{action} suser=%s{login} src=%s{csip} spt=%d{csport} dst=%s{cdip} dpt=%d{cdport} deviceTranslatedAddress=%s{ssip} deviceTranslatedPort=%d{ssport} destinationTranslatedAddress=%s{sdip} destinationTrans latedPort=%d{sdport} sourceTranslatedAddress=%s{tsip} sourceTranslatedPort=%d{tsport} proto=%s{ipproto} tunnelType=%s{ttype} dnat=%s{dnat} stateful=%s{stateful} spriv=%s{location} reason=%s{rulelabel} in=%ld{inbytes} out=%ld{outbytes} deviceDirection=1 cs1=%s{dept} cs1Label=dept cs2=%s{nwsvc} cs2Label=nwService cs3=%s{nwapp} cs3Label=nwApp cs4=%s{aggregate} cs4Label=aggregated cs5=%s{threatcat} cs5Label=threatcat cs6=%s{threatname} cs6label=threatname cn1=%d{durationms} cn1Label=durationms cn2=%d{numsessions} cn2Label=numsessions cs5Label=ipCat cs5=%s{ipcat} destCountry=%s{destcountry} avgduration=%d{avgduration}\n
      
    11. 重複日誌:選擇 禁用

    12. 對於其餘欄位,保留預設值。
    13. 按一下儲存

轉發Web日誌

配置Zscaler以發送Web日誌,如下所示:

  1. 使用管理員權限登入到Zscaler NSS Web管理界面。
  2. 單擊 管理 > 設置 > Nanolog流服務
  3. 單擊"NSS 源" 選項卡。
  4. 單擊 添加NSS源
  5. 在" 編輯NSS源 "對話框中,配置以下設定:

    1. 訂閱源名稱:為存取點輸入描述性名稱。
    2. NSS伺服器:選擇萬維網服務器的NSS。
    3. 狀態:按一下已啟用
    4. SIEM IP地址:輸入您先前在Sophos Central中指定的syslog IP地址。
    5. SIEM TCP埠:輸入先前在Sophos Central中為您生成的埠。
    6. 日誌類型:單擊 Web日誌
    7. 進紙輸出類型:單擊 復制圖標。 下麵字元串最右側的復制圖標以復制該字元串。然後將其粘跕到欄位中。

      %s{mon} %02d{dd} %02d{hh}:%02d{mm}:%02d{ss} zscaler-nss CEF:0|Zscaler|NSSWeblog|5.7|%s{action}|%s{reason}|3| act=%s{action} reason=%s{reason} app=%s{proto} dhost=%s{ehost} dst=%s{sip} src=%s{cip} sourceTranslatedAddress=%s{cintip} in=%d{respsize} out=%d{reqsize} request=%s{eurl} requestContext=%s{ereferer} outcome=%s{respcode} requestClientApplication=%s{ua} requestMethod=%s{reqmethod} suser=%s{login} spriv=%s{location} externalId=%d{recordid} fileType=%s{filetype} destinationServiceNam e=%s{appname} cat=%s{urlcat} deviceDirection=1 cn1=%d{riskscore} cn1Label=riskscore cs1=%s{dept} cs1Label=dept cs2=%s{urlcat} cs2Label=urlcat cs3=%s{malwareclass} cs3Label=malwareclass cs4=%s{malwarecat} cs4Label=malwarecat cs5=%s{threatname} cs5Label=threatname cs6Label=%s{bamd5} cs6=md5hash rulelabel=%s{rulelabel} ruletype=%s{ruletype} urlclass=%s{urlclass} devicemodel=%s{devicemodel}\n
      
    8. 對於其餘欄位,保留預設值。

    9. 按一下儲存

轉發DNS日誌

配置Zscaler以發送DNS日誌,如下所示:

  1. 使用管理員權限登入到Zscaler NSS Web管理界面。
  2. 單擊 管理 > 設置 > Nanolog流服務
  3. 單擊"NSS 源" 選項卡。
  4. 單擊 添加NSS源
  5. 在" 編輯NSS源 "對話框中,配置以下設定:

    1. 訂閱源名稱:為存取點輸入描述性名稱。
    2. NSS類型爲防火牆選擇NSS
    3. NSS伺服器:選擇一個NSS伺服器實例。
    4. 狀態:按一下已啟用
    5. SIEM IP地址:輸入您先前在Sophos Central中指定的syslog IP地址。
    6. SIEM TCP埠:輸入先前在Sophos Central中為您生成的埠。
    7. 日誌類型:單擊 DNS日誌
    8. 進紙輸出類型:選擇客戶
    9. 送紙輸出格式:單擊 復制圖標。 下麵字元串最右側的復制圖標以復制該字元串。然後將其粘跕到欄位中。

      %s{mon} %02d{dd} %02d{hh}:%02d{mm}:%02d{ss} zscaler-nss-fw CEF:0|Zscaler|NSSDNSlog|5.7|%s{action}|%s{rulelabel}|3| suser=%s{login} cs1=%s{dept} cs1Label=department cs2=%s{reqaction} cs2Label=reqaction cs3=%s{resaction} cs3Label=resaction cs4=%s{reqtype} cs4Label=dns_reqtype cs5=%s{req} cs5Label=dns_req cs6=%s{res} cs6Label=dns_resp cn1=%d{durationms} cn1Label=durationms flexString1=%s{reqrulelabel} flexString1Label=reqrulelabel flexString2=%s{resrulelabel} flexString2Label=resrulelabel cat=%s{domcat} src=%s{cip} dst=%s{sip} dpt=%d{sport} spriv=%s{location} suid=%s{deviceowner} dvchost=%s{devicehostname}\n
      
    10. 重複日誌:選擇 禁用

    11. 對於其餘欄位,保留預設值。
    12. 按一下儲存