整合 Zscaler ZIA

您可以將 Zscaler ZIA 與 Sophos Central 整合，以便將警示傳送到 Sophos。

此整合使用虛擬機 (VM) 上託管的記錄收集器。它們一起被稱為整合設備。設備接收協力廠商資料，並將資料傳送到 Sophos Data Lake。

主要步驟

整合的主要步驟如下：

• 在 Sophos Central 中新增整合。此步驟中，您將建立整合設備的映像檔。
• 在 VM 上下載並部署映像。這將成為您的設備。
• 設定 Zscaler ZIA 以將資料傳送到設備。

需求

設備具有系統和網路存取要求。要檢查您是否滿足這些要求，請參閱 設備要求。

新增整合

要新增整合，請依照以下步驟進行：

1. 在 Sophos Central 中，移至威脅分析中心 > 整合 > 市場。

2. 按一下 Zscaler ZIA。

   開啟Zscaler ZIA頁面。您可以在此處新增整合並查看已新增的所有整合清單。

3. 在資料擷取（安全警示）中，按一下新增設定。

   注意

   如果這是您新增的第一個整合，我們可能會要求您提供內部網域和 IP 的詳細資料。請參閱提供您的域和IP詳細資訊。

   螢幕上將顯示整合設定步驟。

設定設備

在 整合設定步驟 中，您可以設定新的設備，或使用既有的設備。

此處我們假設您要設定新的設備。請依以下步驟建立映像檔：

1. 輸入整合的名稱和說明。
2. 按一下建立新設備。
3. 輸入設備的名稱和說明。
4. 選取虛擬平台。目前我們支援 VMware ESXi 6.7 Update 3 或更新版本以及 Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) 或更新版本。

5. 指定面向網際網路的網路連接埠的 IP 設定。這將設定設備的管理介面。

   • 選取 DHCP 可自動指派 IP 位址。

     注意

     如果選取 DHCP，則必須保留 IP 位址。

   • 選取手動以指定網路設定。

6. 選取 Syslog IP 版本並輸入 Syslog IP 位址。

   稍後設定 Zscaler ZIA 以向設備傳送資料時，您將需要該 syslog IP 位址。

7. 在協議中，選擇TCP。

   當您設定 Zscaler ZIA 以傳送資料至設備時，您必須確保其使用相同的通訊協定。

8. 按一下儲存。

   我們會建立整合，整合會顯示在您的清單中。

   在整合詳細資料中，您可以看到設備的連接埠號。稍後設定 Zscaler ZIA 以向其傳送資料時，您將需要該編號。

   設備映像檔可能需要幾分鐘的時間才能準備好。

部署設備

使用映像部署設備，如下所示：

1. 在整合清單的動作中，按一下適用於您的平台的下載動作，例如，若是 ESXi，則按一下下載 OVA。
2. 映像下載完成後，請將其部署在 VM 上。請參閱部署設備。

配置 Zscaler ZIA

配置 Zscaler ZIA 以將資料傳送至 Sophos。這包含以下主要步驟：

• 配置 Nanolog Streaming Service (NSS) 伺服器。
• 轉發防火牆日誌。
• 傳送網站日誌。
• 轉發 DNS 日誌。

配置 NSS 伺服器

配置並部署 NSS 伺服器。

我們建議部署 Web 的 NSS 和防火牆的 NSS 實例。這確保您捕獲所有相關的警報類型。在大多數情況下，您應該將這些部署在本地，以便將 syslog 轉發到您環境中的 Sophos 日誌收集器。

1. 使用管理員權限登錄到 Zscaler NSS 網頁管理介面。
2. 點擊管理 > 設定 > 不可見日誌串流服務。
3. 請按照步驟調整 NSS 裝置的大小。參閱需知：NSS。
4. 按一下新增 NSS 伺服器。
5. 輸入一個名稱來識別這台 NSS 伺服器，用於將事件串流到 Sophos。

6. 在\類型\中，選擇用於網頁的NSS或用於防火牆的NSS。

   我們建議部署每種一個。

7. 將Status設定為Enabled。

8. 按一下儲存。
9. 下載並部署圖像到您的平台，例如 VMware 或 AWS。

有關詳細資訊，請參閱了解 Nanolog 流處理服務（NSS）。

如需特定部署指南，請參閱《Nanolog Streaming Service》。

接下來，您可以設定 NSS，以轉發您所需的每種類型的日誌。

轉發防火牆日誌

配置 Zscaler NSS 以依以下方式傳送防火牆日誌：

1. 使用管理員權限登入至 Zscaler NSS 網頁管理介面。
2. 點選管理 > 設定 > Nanolog串流服務。
3. 點擊NSS Feeds分頁。
4. 點擊新增 NSS Feed。

5. 在編輯 NSS 餵養 對話方塊中，配置這些設定：

   1. 供稿名稱: 輸入一個描述性的名稱以供訂閱。
   2. NSS 類型選擇\NSS防火牆。
   3. NSS 伺服器: 選取防火牆伺服器的 NSS。
   4. 狀態：按一下已啟用。
   5. SIEM IP地址輸入您之前在Sophos Central中指定的syslog IP位址。
   6. SIEM TCP Port請輸入之前在Sophos Central為您生成的埠號。
   7. 日誌類型：點擊防火牆日誌。
   8. 防火牆記錄類型: 按一下會話和彙總日誌。
   9. Feed Output Type選擇自訂。

   10. 輸出格式按一下下方字串最右邊的複製圖示以複製字串。然後將其粘貼到字段中。

       %s{mon} %02d{dd} %02d{hh}:%02d{mm}:%02d{ss} zscaler-nss-fw CEF:0|Zscaler|NSSFWlog|5.7|%s{action}|%s{rulelabel}|3| act=%s{action} suser=%s{login} src=%s{csip} spt=%d{csport} dst=%s{cdip} dpt=%d{cdport} deviceTranslatedAddress=%s{ssip} deviceTranslatedPort=%d{ssport} destinationTranslatedAddress=%s{sdip} destinationTrans latedPort=%d{sdport} sourceTranslatedAddress=%s{tsip} sourceTranslatedPort=%d{tsport} proto=%s{ipproto} tunnelType=%s{ttype} dnat=%s{dnat} stateful=%s{stateful} spriv=%s{location} reason=%s{rulelabel} in=%ld{inbytes} out=%ld{outbytes} deviceDirection=1 cs1=%s{dept} cs1Label=dept cs2=%s{nwsvc} cs2Label=nwService cs3=%s{nwapp} cs3Label=nwApp cs4=%s{aggregate} cs4Label=aggregated cs5=%s{threatcat} cs5Label=threatcat cs6=%s{threatname} cs6label=threatname cn1=%d{durationms} cn1Label=durationms cn2=%d{numsessions} cn2Label=numsessions cs5Label=ipCat cs5=%s{ipcat} destCountry=%s{destcountry} avgduration=%d{avgduration}\n
       

   11. 重複記錄選擇已停用。

   12. 對於剩餘的欄位，請保留預設值。
   13. 按一下儲存。

轉寄網站記錄

配置 Zscaler 以如下方式發送網路記錄：

1. 使用管理員權限登入至 Zscaler NSS 網頁管理介面。
2. 點選管理 > 設定 > Nanolog串流服務。
3. 點擊NSS Feeds分頁。
4. 點擊新增 NSS Feed。

5. 在編輯 NSS 餵養 對話方塊中，配置這些設定：

   1. 供稿名稱: 輸入一個描述性的名稱以供訂閱。
   2. NSS 伺服器: 選擇 Web 伺服器的 NSS。
   3. 狀態：按一下已啟用。
   4. SIEM IP地址輸入您之前在Sophos Central中指定的syslog IP位址。
   5. SIEM TCP Port請輸入之前在Sophos Central為您生成的埠號。
   6. 日誌類型：按一下Web Log。

   7. Feed Output Type按一下下方字串最右邊的複製圖示以複製字串。然後將其粘貼到字段中。

      %s{mon} %02d{dd} %02d{hh}:%02d{mm}:%02d{ss} zscaler-nss CEF:0|Zscaler|NSSWeblog|5.7|%s{action}|%s{reason}|3| act=%s{action} reason=%s{reason} app=%s{proto} dhost=%s{ehost} dst=%s{sip} src=%s{cip} sourceTranslatedAddress=%s{cintip} in=%d{respsize} out=%d{reqsize} request=%s{eurl} requestContext=%s{ereferer} outcome=%s{respcode} requestClientApplication=%s{ua} requestMethod=%s{reqmethod} suser=%s{login} spriv=%s{location} externalId=%d{recordid} fileType=%s{filetype} destinationServiceNam e=%s{appname} cat=%s{urlcat} deviceDirection=1 cn1=%d{riskscore} cn1Label=riskscore cs1=%s{dept} cs1Label=dept cs2=%s{urlcat} cs2Label=urlcat cs3=%s{malwareclass} cs3Label=malwareclass cs4=%s{malwarecat} cs4Label=malwarecat cs5=%s{threatname} cs5Label=threatname cs6Label=%s{bamd5} cs6=md5hash rulelabel=%s{rulelabel} ruletype=%s{ruletype} urlclass=%s{urlclass} devicemodel=%s{devicemodel}\n
      

   8. 對於剩餘的欄位，請保留預設值。

   9. 按一下儲存。

正向 DNS 日誌

配置 Zscaler 將 DNS 日誌發送如下：

1. 使用管理員權限登入至 Zscaler NSS 網頁管理介面。
2. 點選管理 > 設定 > Nanolog串流服務。
3. 點擊NSS Feeds分頁。
4. 點擊新增 NSS Feed。

5. 在編輯 NSS 餵養 對話方塊中，配置這些設定：

   1. 供稿名稱: 輸入一個描述性的名稱以供訂閱。
   2. NSS 類型選擇\NSS防火牆。
   3. NSS 伺服器: 選擇您的 NSS 伺服器實例之一。
   4. 狀態：按一下已啟用。
   5. SIEM IP地址輸入您之前在Sophos Central中指定的syslog IP位址。
   6. SIEM TCP Port請輸入之前在Sophos Central為您生成的埠號。
   7. 日誌類型：點擊 DNS 日誌。
   8. Feed Output Type選擇自訂。

   9. 輸出格式按一下下方字串最右邊的複製圖示以複製字串。然後將其粘貼到字段中。

      %s{mon} %02d{dd} %02d{hh}:%02d{mm}:%02d{ss} zscaler-nss-fw CEF:0|Zscaler|NSSDNSlog|5.7|%s{action}|%s{rulelabel}|3| suser=%s{login} cs1=%s{dept} cs1Label=department cs2=%s{reqaction} cs2Label=reqaction cs3=%s{resaction} cs3Label=resaction cs4=%s{reqtype} cs4Label=dns_reqtype cs5=%s{req} cs5Label=dns_req cs6=%s{res} cs6Label=dns_resp cn1=%d{durationms} cn1Label=durationms flexString1=%s{reqrulelabel} flexString1Label=reqrulelabel flexString2=%s{resrulelabel} flexString2Label=resrulelabel cat=%s{domcat} src=%s{cip} dst=%s{sip} dpt=%d{sport} spriv=%s{location} suid=%s{deviceowner} dvchost=%s{devicehostname}\n
      

   10. 重複記錄選擇已停用。

   11. 對於剩餘的欄位，請保留預設值。
   12. 按一下儲存。