Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Integración de Barracuda CloudGen

Puede integrar Barracuda CloudGen con Sophos Central para que envíe alertas a Sophos para analizarlas.

Esta página presenta una visión general de la integración.

Resumen de Barracuda CloudGen

Barracuda CloudGen Firewall ofrece soluciones de seguridad integrales para redes híbridas y en la nube. El firewall mejora la conectividad de sitio a sitio y permite el acceso ininterrumpido a aplicaciones alojadas en la nube. Barracuda cuenta con una defensa multicapa, que incluye protección avanzada contra amenazas y redes de información globales, y garantiza una protección en tiempo real frente a diversas amenazas, como el ransomware y los ataques de día cero. Puede desplegarse en entornos físicos y en la nube, y ofrece funciones SD-WAN integradas para una conectividad ininterrumpida, así como herramientas de gestión centralizada para un despliegue simplificado y una visibilidad de red integral.

Documentos de Sophos

Integrar Barracuda CloudGen

Datos que ingerimos

Ejemplos de alertas vistas por Sophos:

  • Login from IP_ADDRESS: Denied: Firewall Rule RULE
  • rolled out network relevant configuration files
  • Load Config from FILE
  • Plug and Play ACPI device, ID (active)
  • starting vpn client
  • FW UDP Connection Limit Exceeded
  • FW Rule Warning
  • FW Flood Ping Protection Activated

Alertas ingeridas en su totalidad

Le aconsejamos que configure la salida de syslog de Generación detallada de informes del firewall Barracuda CloudGen, pero que esté sujeto a un filtrado significativo para que solo se procesen alertas de seguridad útiles.

La mayoría de las alertas están estandarizadas con regex.

Filtrado

Actualmente filtramos las alertas más ruidosas. Entre los filtros se incluyen:

  • UDP-NEW\\(Normal Operation,0\\)
  • Session Idle Timeout
  • \\[Request\\] Allow
  • \\[Request\\] Remove
  • \\[Sync\\] Changed: Transport
  • Session PHS: Authentication request from user
  • Tunnel has now one working transport
  • Session -------- Tunnel
  • Abort TCP transport
  • Info CHHUNFWHQ-01 Session
  • : Accounting LOGIN
  • State: REM\\(Unreachable Timeout,20\\)
  • read failed\\(IOStreamSock: Receive\\(\\) end of file\\) closing connection
  • DH attributes found in request, generating new key
  • \\[Sync\\] Changed: Checking Transports
  • State: UDP-FAIL\\(Port Unreachable,3\\)
  • DH key agreement successful
  • Request Timeout \\(HandshakeRequest ReqState=Init RepState=Init\\) -> terminate session
  • \\[Sync\\] Local: Update Transport
  • send fast reply
  • \\[Sync\\] Session Command
  • \\[HASYNC\\] update
  • Transport .* State changed to
  • Accounting LOGOUT
  • TCP.*close on command
  • Rule: Authentication Login
  • Rule: Authentication Logout
  • Error.*Request Timeout
  • Info.*Delete Transport
  • Info.*\\[HASYNC\\]
  • Notice.*\\[HASYNC\\]
  • Warning.*Tunnel Heartbeat failed
  • Info.*Worker Process.*timeout
  • Error.*Operation: Poll.*Timeout
  • Info.*\\(New Request
  • Info.*\\(Normal Operation

Muestra de asignaciones de amenazas

Usamos fields.message para asignaciones de amenazas donde esté presente, o buscamos un código en el campo de información de los tipos de eventos estándar. Consulte Eventos de seguridad.

"alertType": "=> searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.message"

Muestras:

{"alertType": "Number of child processes automatically set to N based on number of CPU cores and size of RAM", "threatId": "T1057", "threatName": "Process Discovery"}
{"alertType": "found no explicit phase1 aggressive configuration in IP_ADDRESS for client", "threatId": "T1573", "threatName": "Encrypted Channel"}

Documentación del proveedor