Check Point Quantum Firewall-Integration
Sie können die Check Point Quantum Firewall in Sophos Central integrieren, sodass Überwachungsdaten an Sophos zur Analyse gesendet werden.
Auf dieser Seite erhalten Sie einen Überblick über die Integration.
Check Point Quantum Firewall-Produktübersicht
ITP Firewall von Check Point ist eine integrierte Sicherheitslösung, die einen umfassenden Schutz vor Bedrohungen für die gesamte IT-Infrastruktur bietet. Durch die Nutzung von Bedrohungsinformationen in Echtzeit und fortschrittlichen Präventionstechnologien wird sichergestellt, dass Netzwerke sowohl vor bekannten als auch vor neuen Bedrohungen geschützt sind.
Sophos-Dokumente
Check Point Quantum Firewall integrieren
Was wir erfassen
Beispiel für Warnmeldungen, die Sophos gesehen hat:
Streaming Engine: TCP anomaly detectedMalformed PacketSSL Enforcement ViolationBackdoor.WIN32.Zegost.ATrojan.Win32.HackerDefender.AMalware.TC.268bRWCTPhishing.RS.TC.29f5jdTiSYN AttackVirus.WIN32.Sality.DYMicrosoft Exchange Server Remote Code ExecutionNetwork Denial of Service Based Attack Detected on ConnectionNostromo Web Server Directory Traversal (CVE-2019-16278)
Filterung
Nachrichten werden wie folgt gefiltert:
- Wir ERLAUBEN nur Alerts, die das gültige Common Event Format (CEF) verwenden.
Beispiele für Bedrohungszuordnungen
Wir verwenden eines dieser Felder, um den Alert-Typ zu bestimmen, abhängig von der Alert-Klassifikation und den enthaltenen Feldern.
cef.deviceEventClassIDcef.namemsgproduct"value": "=> is(fields.product, 'SmartDefense') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Attack Information') && !is(fields.flexString2, 'Other') ? searchRegexList(fields.flexString2, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.flexString2, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.flexString2 : is(fields.product, 'Application Control') ? cef.deviceEventClassID : is(fields.product, 'New Anti Virus') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Malware Action') && !is(fields.flexString2, 'Other') ? fields.flexString2 : is(fields.product, 'Anti Malware') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Malware Action') && !is(fields.flexString2, 'Other') ? fields.flexString2 : is(fields.product, 'New Anti Virus') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Malware Action') && is(fields.flexString2, 'Other') ? cef.name : is(fields.product, 'Anti Malware') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Malware Action') && is(fields.flexString2, 'Other') ? cef.name : !isEmpty(fields.msg) ? searchRegexList(fields.msg, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.msg, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.msg : !isEmpty(fields.product) ? fields.product : undefined"
Beispielzuordnungen:
{"alertType": "Extracted files name: NAME Extracted files type: TYPE Extracted files sha1: SHA Extracted files verdict: VERDICT", "threatId": "T1598.002", "threatName": "Spearphishing Attachment"}
{"alertType": "Gallery search engine cross-site scripting", "threatId": "T1189", "threatName": "Drive-by Compromise"}
{"alertType": "Address spoofing", "threatId": "T1036", "threatName": "Masquerading"}
Herstellerdokumentation
Protokollierung und Überwachung von R80.30 – Administrationshandbuch