SonicWall SonicOS-Integration

Sie können SonicWall SonicOS in Sophos Central integrieren, sodass Alerts zur Analyse an Sophos gesendet werden.

Auf dieser Seite erhalten Sie einen Überblick über die Integration.

SonicWall SonicOS-Produktübersicht

SonicWall bietet eine automatisierte Plattform zur Erkennung und Prävention von Sicherheitsverletzungen in Echtzeit. Der Multi-Engine-Sandbox-Ansatz, der Bedrohungen am Gateway abwehrt, gewährleistet Geschäftskontinuität und verbessert die Netzwerkeffizienz.

Sophos-Dokumente

SonicWall SonicOS integrieren

Was wir erfassen

Beispiel für Alerts, die Sophos gesehen hat:

ICMP PING CyberKit
INFO Telerik.Web.UI.WebResource.axd Access
Initial Aggressive Mode Completed
User Login Timeout
VPN Policy Enabled/Disabled
WEB-ATTACKS Apache Struts OGNL Expression Language Injection
WEB-ATTACKS Cross Web Server Remote Code Execution
WEB-ATTACKS Crystal Reports Web Viewer Information Disclosure
DNS Rebind Attack Blocked
IoT-ATTACKS Cisco Adaptive Security Appliance XSS
IoT-ATTACKS Axis IP Camera Authentication Bypass

Filterung

Nachrichten werden wie folgt gefiltert:

Wir ERLAUBEN Alerts, die das gültige Common Event Format (CEF) verwenden.
Wir wenden Level-20-DROP-Filter an, um Nachrichten mit hohem Volumen, aber geringem Wert zu entfernen.

Beispiele für Bedrohungszuordnungen

Zur Bestimmung des Alert-Typs verwenden wir eines dieser Felder, je nach Alert-Klassifizierung und den darin enthaltenen Feldern.

ipscat
spycat

Andernfalls greifen wir auf cef.name zurück.

"value": "=> !isEmpty(fields.ipscat) ? searchRegexList(trim(replace( fields.ipscat, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(trim(replace( fields.ipscat, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : trim(replace( fields.ipscat, /\\\\*\"/g, '')) : !isEmpty(fields.spycat) ? searchRegexList(trim(replace( fields.spycat, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(trim(replace( fields.spycat, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : trim(replace( fields.spycat, /\\\\*\"/g, '')) : !isEmpty(cef.name) ? searchRegexList(trim(replace( cef.name, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(trim(replace( cef.name, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : trim(replace( cef.name, /\\\\*\"/g, '')) : undefined ",

Beispielzuordnungen:

{"alertType": "IP Spoof Detected", "threatId": "T1498", "threatName": "Network Denial of Service"}
{"alertType": "NTP Update Successful", "threatId": "T1547.003", "threatName": "Time Providers"}
{"alertType": "IPsec SA Added", "threatId": "T1552.004", "threatName": "Private Keys"}