WatchGuard Firebox-Integration
Sie können WatchGuard Firebox in Sophos Central integrieren, sodass Daten an Sophos gesendet werden.
Auf dieser Seite erhalten Sie einen Überblick über die Integration.
WatchGuard Firebox-Produktübersicht
WatchGuard bietet eine Reihe einfach bereitzustellender und zu verwaltender Firewalls, die auf Unternehmen jeder Größe passen. Deren Lösungen konzentrieren sich auf die Erkennung von und Reaktion auf komplexe Bedrohungen, die durch einen schnellen Einblick in die Netzwerkaktivitäten und durch Bedrohungsinformationen unterstützt werden.
Sophos-Dokumente
WatchGuard Firebox integrieren
Was wir erfassen
Beispiel für Warnmeldungen, die Sophos gesehen hat:
blocked sites (reason IP scan attack)ProxyDeny: DNS invalid number of questionsAuthentication of ACCOUNT_TYPE user [USERNAME] from IP_ADDRESS was rejected, received an Access-Reject response from the (IP_ADDRESS) serverblocked sites (TOR blocking source)SSL VPN user NAME from IP_ADDRESS logged in assigned virtual IP is IP_ADDRESSRogue Access Point detected at MAC, broadcasting SSID NAMEAuthentication error. no matching session found for USERNAME.Device already has the latest TYPE signature version VERSIONProxyDrop: HTTP Virus foundProxyStrip: HTTP header malformedCannot start the signature update for 'TOR'Certificate (CERTIFICATE) is not valid.ProxyDeny: SMTP To addressWireless country specification from LiveSecurity Service was not received: error can't get country spec response from LiveSecurity Service, (retry_countN)Manual MICROSOFT365 update started'LIVESECURITY' feature expired (DATE) prior to package release date (DATE)sendalarm: failed to send alarm messageblocked sites (ThreatSync destination)WEB Microsoft IIS HTTP.sys Remote Code Execution Vulnerability (CVE-2015-1635)WEB Apache HTTPD mod_proxy_ajp Denial Of Service (CVE-2011-3348)Shutdown requested by systemVIRUS Eicar test string NDDOS from client IP_ADDRESS detected.WEB PHPUnit CVE-2017-9841 Arbitrary Code Execution VulnerabilitySSH Brute Force Login N
Filterung
Nachrichten werden wie folgt gefiltert:
Agent-Filter
- Wir ERLAUBEN alle Protokolle.
- Wir VERWERFEN verschiedene Meldungen mit hohem Aufkommen und niedrigem Wert.
Plattformfilter
- Wir ERLAUBEN gültige LEEF-Formate.
- Wir VERWERFEN verschiedene überprüfte und nicht sicherheitsrelevante Nachrichten und Protokolle.
- Wir VERWERFEN verschiedene Meldungen mit hohem Aufkommen und niedrigem Wert.
Beispiele für Bedrohungszuordnungen
Wir verwenden eines dieser Felder, um den Alert-Typ zu bestimmen, abhängig von der Alert-Klassifikation und den enthaltenen Feldern.
fields.msgfields.IPS_ruleleef.eventID
"value": "=> !isEmpty(fields.msg) ? is(fields.msg, 'IPS detected') ? searchRegexList(fields.IPS_rule, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.IPS_rule, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.IPS_rule : searchRegexList(fields.msg, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.msg, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.msg : getNestedValue(_.referenceValues.code_translation, 'alert_translation', leef.eventId) ? getNestedValue(_.referenceValues.code_translation, 'alert_translation', leef.eventId) : getNestedValue(_.globalReferenceValues.code_translation, 'alert_translation', leef.eventId) ? getNestedValue(_.globalReferenceValues.code_translation, 'alert_translation', leef.eventId) : leef.eventId"
Beispielzuordnungen:
{"alertType": "ProxyAllow: HTTP Range header", "threatId": "T1498", "threatName": "Network Denial of Service"}
{"alertType": "Scheduled GAV update started", "threatId": "TA0005", "threatName": "Defense Evasion"}
{"alertType": "IPS detected", "threatId": "T1562.001", "threatName": "Disable or Modify Tools"}