Barracuda CloudGen-Integration
Sie können Barracuda CloudGen in Sophos Central integrieren, sodass Warnmeldungen zur Analyse an Sophos gesendet werden.
Auf dieser Seite erhalten Sie einen Überblick über die Integration.
Übersicht zu Barracuda CloudGen
Barracuda CloudGen Firewall bietet umfassende Sicherheitslösungen für Cloud- und Hybridnetzwerke. Die Firewall verbessert die standortübergreifende Konnektivität und ermöglicht unterbrechungsfreien Zugriff auf in der Cloud gehostete Anwendungen. Mit mehrschichtigen Abwehrsystemen, einschließlich fortschrittlichem Bedrohungsschutz und einem globalen Aufklärungsnetzwerk, sorgt Barracuda für Echtzeitschutz vor verschiedenen Cyberbedrohungen wie Ransomware und Zero-Day-Angriffen. Das Produkt kann in physischen oder Cloud-Umgebungen eingesetzt werden und bietet integrierte SD-WAN-Funktionen für nahtlose Konnektivität und zentralisierte Verwaltungstools für eine vereinfachte Bereitstellung und umfassende Netzwerktransparenz.
Sophos-Dokumente
Barracuda CloudGen integrieren
Was wir erfassen
Beispiel für Warnmeldungen, die Sophos gesehen hat:
Login from IP_ADDRESS: Denied: Firewall Rule RULE
rolled out network relevant configuration files
Load Config from FILE
Plug and Play ACPI device, ID (active)
starting vpn client
FW UDP Connection Limit Exceeded
FW Rule Warning
FW Flood Ping Protection Activated
Alarme werden vollständig erfasst
Wir empfehlen Ihnen, die detaillierte Firewall Reporting-Syslog-Ausgabe von der Barracuda CloudGen Firewall zu konfigurieren. Diese wird jedoch stark gefiltert, sodass nur nützliche Sicherheitswarnmeldungen verarbeitet werden.
Die meisten Warnmeldungen sind mit Regex standardisiert.
Filterung
Wir filtern derzeit die irrelevantesten Warnmeldungen heraus. Zu Filtern zählen:
UDP-NEW\\(Normal Operation,0\\)
Session Idle Timeout
\\[Request\\] Allow
\\[Request\\] Remove
\\[Sync\\] Changed: Transport
Session PHS: Authentication request from user
Tunnel has now one working transport
Session -------- Tunnel
Abort TCP transport
Info CHHUNFWHQ-01 Session
: Accounting LOGIN
State: REM\\(Unreachable Timeout,20\\)
read failed\\(IOStreamSock: Receive\\(\\) end of file\\) closing connection
DH attributes found in request, generating new key
\\[Sync\\] Changed: Checking Transports
State: UDP-FAIL\\(Port Unreachable,3\\)
DH key agreement successful
Request Timeout \\(HandshakeRequest ReqState=Init RepState=Init\\) -> terminate session
\\[Sync\\] Local: Update Transport
send fast reply
\\[Sync\\] Session Command
\\[HASYNC\\] update
Transport .* State changed to
Accounting LOGOUT
TCP.*close on command
Rule: Authentication Login
Rule: Authentication Logout
Error.*Request Timeout
Info.*Delete Transport
Info.*\\[HASYNC\\]
Notice.*\\[HASYNC\\]
Warning.*Tunnel Heartbeat failed
Info.*Worker Process.*timeout
Error.*Operation: Poll.*Timeout
Info.*\\(New Request
Info.*\\(Normal Operation
Beispiele für Bedrohungszuordnungen
Wir verwenden „fields.message“ für Bedrohungszuordnungen, wenn sie vorhanden sind, oder suchen einen Code aus dem Infofeld der Standard-Ereignistypen. Siehe Sicherheitsereignisse.
"alertType": "=> searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.message"
Beispiele:
{"alertType": "Number of child processes automatically set to N based on number of CPU cores and size of RAM", "threatId": "T1057", "threatName": "Process Discovery"}
{"alertType": "found no explicit phase1 aggressive configuration in IP_ADDRESS for client", "threatId": "T1573", "threatName": "Encrypted Channel"}