Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Barracuda CloudGen-Integration

Sie können Barracuda CloudGen in Sophos Central integrieren, sodass Warnmeldungen zur Analyse an Sophos gesendet werden.

Auf dieser Seite erhalten Sie einen Überblick über die Integration.

Übersicht zu Barracuda CloudGen

Barracuda CloudGen Firewall bietet umfassende Sicherheitslösungen für Cloud- und Hybridnetzwerke. Die Firewall verbessert die standortübergreifende Konnektivität und ermöglicht unterbrechungsfreien Zugriff auf in der Cloud gehostete Anwendungen. Mit mehrschichtigen Abwehrsystemen, einschließlich fortschrittlichem Bedrohungsschutz und einem globalen Aufklärungsnetzwerk, sorgt Barracuda für Echtzeitschutz vor verschiedenen Cyberbedrohungen wie Ransomware und Zero-Day-Angriffen. Das Produkt kann in physischen oder Cloud-Umgebungen eingesetzt werden und bietet integrierte SD-WAN-Funktionen für nahtlose Konnektivität und zentralisierte Verwaltungstools für eine vereinfachte Bereitstellung und umfassende Netzwerktransparenz.

Sophos-Dokumente

Barracuda CloudGen integrieren

Was wir erfassen

Beispiel für Warnmeldungen, die Sophos gesehen hat:

  • Login from IP_ADDRESS: Denied: Firewall Rule RULE
  • rolled out network relevant configuration files
  • Load Config from FILE
  • Plug and Play ACPI device, ID (active)
  • starting vpn client
  • FW UDP Connection Limit Exceeded
  • FW Rule Warning
  • FW Flood Ping Protection Activated

Alarme werden vollständig erfasst

Wir empfehlen Ihnen, die detaillierte Firewall Reporting-Syslog-Ausgabe von der Barracuda CloudGen Firewall zu konfigurieren. Diese wird jedoch stark gefiltert, sodass nur nützliche Sicherheitswarnmeldungen verarbeitet werden.

Die meisten Warnmeldungen sind mit Regex standardisiert.

Filterung

Wir filtern derzeit die irrelevantesten Warnmeldungen heraus. Zu Filtern zählen:

  • UDP-NEW\\(Normal Operation,0\\)
  • Session Idle Timeout
  • \\[Request\\] Allow
  • \\[Request\\] Remove
  • \\[Sync\\] Changed: Transport
  • Session PHS: Authentication request from user
  • Tunnel has now one working transport
  • Session -------- Tunnel
  • Abort TCP transport
  • Info CHHUNFWHQ-01 Session
  • : Accounting LOGIN
  • State: REM\\(Unreachable Timeout,20\\)
  • read failed\\(IOStreamSock: Receive\\(\\) end of file\\) closing connection
  • DH attributes found in request, generating new key
  • \\[Sync\\] Changed: Checking Transports
  • State: UDP-FAIL\\(Port Unreachable,3\\)
  • DH key agreement successful
  • Request Timeout \\(HandshakeRequest ReqState=Init RepState=Init\\) -> terminate session
  • \\[Sync\\] Local: Update Transport
  • send fast reply
  • \\[Sync\\] Session Command
  • \\[HASYNC\\] update
  • Transport .* State changed to
  • Accounting LOGOUT
  • TCP.*close on command
  • Rule: Authentication Login
  • Rule: Authentication Logout
  • Error.*Request Timeout
  • Info.*Delete Transport
  • Info.*\\[HASYNC\\]
  • Notice.*\\[HASYNC\\]
  • Warning.*Tunnel Heartbeat failed
  • Info.*Worker Process.*timeout
  • Error.*Operation: Poll.*Timeout
  • Info.*\\(New Request
  • Info.*\\(Normal Operation

Beispiele für Bedrohungszuordnungen

Wir verwenden „fields.message“ für Bedrohungszuordnungen, wenn sie vorhanden sind, oder suchen einen Code aus dem Infofeld der Standard-Ereignistypen. Siehe Sicherheitsereignisse.

"alertType": "=> searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.message"

Beispiele:

{"alertType": "Number of child processes automatically set to N based on number of CPU cores and size of RAM", "threatId": "T1057", "threatName": "Process Discovery"}
{"alertType": "found no explicit phase1 aggressive configuration in IP_ADDRESS for client", "threatId": "T1573", "threatName": "Encrypted Channel"}

Herstellerdokumentation