Recherches récentes

Aucune recherche récente

    Articles populaires

      Articles
      Afficher tout
        Sujets
        Afficher tout
          Tickets
          Afficher tout
            aucun résultat

            Désolé ! aucun résultat trouvé pour

            Zscaler

            Introduction

            Field Effect a la capacité de s'intégrer avec Zscaler, ce qui signifie que nos appliances ont la capacité de recevoir des journaux de web, mobiles et de pare-feu à partir du cloud Zscaler, de les analyser à l'aide de Field Effect MDR et d'en rendre compte par les AROs. 

             

            Cet article décrit notre intégration avec Zscaler et fournit des liens vers leur documentation pour le déploiement de Nanolog Streaming Service (NSS) dans un environnement virtualisé.


            Guides de déploiement de Zscaler : 

Bien que cet article explique notre intégration à un niveau élevé, consultez le guide de déploiement détaillé de Zscaler pour votre environnement : 
- NSS Deployment Guide for Amazon Web Services
            - NSS Deployment Guide for Google Cloud Platform
            - NSS Deployment Guide for Microsoft Azure
            - NSS Deployment Guide for VMware vSphere


            Nanolog Streaming Service (NSS) 

            Cette intégration est rendue possible par le service de diffusion en continu Nanolog (NSS) de Zscaler, qui permet à Zscaler de communiquer, via le cloud, avec des solutions de sécurité tierces, comme Field Effect, dans le but d'échanger des journaux d'événements.

             

            Une fois activé et configuré, NSS transmettra tous les journaux du Zscaler Nanolog à votre appliance réseau Field Effect. Zscaler permet d'y parvenir via plusieurs méthodes, mais cette intégration utilise le NSS basé sur la machine virtuelle (VM). Une fois déployée, cette intégration permet d'alerter en temps réel sur les événements de sécurité de votre choix, ainsi que la corrélation des journaux de Zscaler avec les journaux d'autres appareils et d'établir localement des archives de journaux à long terme.

             

            Avec l'approche basée sur une machine virtuelle, NSS utilise une machine virtuelle (VM) pour diffuser les journaux vers votre appliance réseau à des fins d'analyse, via une connexion TCP brute. Cette machine virtuelle peut être déployée dans vSphere, Amazon Web Services (AWS), Google Cloud Platform ou Microsoft Azure. Les journaux Web et Firewall sont stockés dans le Nanolog, situé dans le nuage Zscaler.

             

            Chaque NSS (Firewall NSS et Web NSS) ouvre un tunnel sécurisé vers le Nanolog. Une copie de chaque journal est transmise à sa machine virtuelle NSS respective dans un format très compressé, ce qui réduit l'empreinte de la bande passante. Tous les journaux d'origine sont conservés dans le Nanolog.

             

            Lorsqu'une machine virtuelle NSS reçoit les journaux, ils sont alors décompressés, détokenisés et les filtres configurés sont appliqués pour exclure les journaux indésirables. Ces journaux filtrés sont ensuite convertis dans un format de sortie qui leur permet d'être consommés et analysés par Field Effect, puis diffusés en continu sur une connexion TCP brute. Le formatage de sortie dont nous avons besoin est inclus dans Configuration de Zscaler pour Field Effect ci-dessous.



            Configuration de Zscaler NSS pour Field Effect

            Lors de la mise en place de cette intégration, veuillez tenir compte de ce qui suit :

            • Bien que nous prenions en charge les journaux de pare-feu et les blogs, nous vous suggérons de commencer par les journaux de pare-feu.
            • Les machines virtuelles doivent être configurées de manière à pouvoir être acheminées vers l'adresse IP de l'appareil Field Effect et envoyer les syslogs à l'adresse IP de l'appareil sur le port 5514.

            À l'aide du guide de déploiement approprié  à votre environnement, utilisez les paramètres recommandés ci-dessous lorsque vous y êtes invité.

             

            Lors de la configuration des sorties syslog, définissez les paramètres suivants comme tels :

            • Type de journal du pare-feu : journaux de session et d'agrégation
            • Type de sortie d'alimentation : Personnalisé
            • Fuseau horaire : GMT
            • Registres en double : Désactivé
            • Personnage d'évasion d'alimentation : <vide>


            Format des données du pare-feu:

            Utilisez le format de sortie suivant pour le format syslog de votre webhook.

            <31>1 %04d{yyyy}-%02d{mth}-%02d{dd}T%02d{hh}:%02d{mm}:%02d{ss}.000Z %s{hostname} zscaler-nss-web - - - "WL","%s{time}","%s{tz}","%s{elogin}","%s{proto}","%s{eurl}","%s{action}","%s{appname}","%s{appclass}","%d{reqsize}","%d{respsize}","%s{urlclass}","%s{urlsupercat}","%s{urlcat}","%s{malwarecat}","%s{threatname}","%d{riskscore}","%s{dlpeng}","%s{dlpdict}","%s{elocation}","%s{dept}","%s{cip}","%s{sip}","%s{reqmethod}","%s{respcode}","%s{eua}","%s{ereferer}","%s{ruletype}","%s{rulelabel}","%s{contenttype}","%s{unscannabletype}","%s{deviceowner}","%s{devicehostname}","%s{keyprotectiontype}"\n
            Generic

            Format des données de Weblog:

            Utilisez le format de sortie suivant pour le format syslog de votre webhook.

            <31>1 %04d{yyyy}-%02d{mth}-%02d{dd}T%02d{hh}:%02d{mm}:%02d{ss}.000Z %s{hostname} zscaler-nss-web - - - "WL","%s{time}","%s{tz}","%s{elogin}","%s{proto}","%s{eurl}","%s{action}","%s{appname}","%s{appclass}","%d{reqsize}","%d{respsize}","%s{urlclass}","%s{urlsupercat}","%s{urlcat}","%s{malwarecat}","%s{threatname}","%d{riskscore}","%s{dlpeng}","%s{dlpdict}","%s{elocation}","%s{dept}","%s{cip}","%s{sip}","%s{reqmethod}","%s{respcode}","%s{eua}","%s{ereferer}","%s{ruletype}","%s{rulelabel}","%s{contenttype}","%s{unscannabletype}","%s{deviceowner}","%s{devicehostname}","%s{keyprotectiontype}"\n
            Generic


            Guides de déploiement de Zscaler :

            Bien que cet article explique notre intégration à un niveau élevé, consultez le guide de déploiement détaillé de Zscaler pour votre environnement :
            - NSS Deployment Guide for Amazon Web Services
            - NSS Deployment Guide for Google Cloud Platform
            - NSS Deployment Guide for Microsoft Azure
            - NSS Deployment Guide for VMware vSphere



            Cet article a-t-il été utile ?

            C'est super !

            Merci pour votre commentaire

            Désolé ! Nous n'avons pas pu vous être utile

            Merci pour votre commentaire

            Dites-nous comment nous pouvons améliorer cet article !

            Sélectionner au moins l'une des raisons
            La vérification CAPTCHA est requise.

            Commentaires envoyés

            Nous apprécions vos efforts et nous allons corriger l'article

            Aperçu
            0 de 0