Integración de Barracuda CloudGen
Puede integrar Barracuda CloudGen con Sophos Central para que envíe alertas a Sophos para analizarlas.
Esta página presenta una visión general de la integración.
Resumen de Barracuda CloudGen
Barracuda CloudGen Firewall ofrece soluciones de seguridad integrales para redes híbridas y en la nube. El firewall mejora la conectividad de sitio a sitio y permite el acceso ininterrumpido a aplicaciones alojadas en la nube. Barracuda cuenta con una defensa multicapa, que incluye protección avanzada contra amenazas y redes de información globales, y garantiza una protección en tiempo real frente a diversas amenazas, como el ransomware y los ataques de día cero. Puede desplegarse en entornos físicos y en la nube, y ofrece funciones SD-WAN integradas para una conectividad ininterrumpida, así como herramientas de gestión centralizada para un despliegue simplificado y una visibilidad de red integral.
Documentos de Sophos
Datos que ingerimos
Ejemplos de alertas vistas por Sophos:
Login from IP_ADDRESS: Denied: Firewall Rule RULE
rolled out network relevant configuration files
Load Config from FILE
Plug and Play ACPI device, ID (active)
starting vpn client
FW UDP Connection Limit Exceeded
FW Rule Warning
FW Flood Ping Protection Activated
Alertas ingeridas en su totalidad
Le aconsejamos que configure la salida de syslog de Generación detallada de informes del firewall Barracuda CloudGen, pero que esté sujeto a un filtrado significativo para que solo se procesen alertas de seguridad útiles.
La mayoría de las alertas están estandarizadas con regex.
Filtrado
Actualmente filtramos las alertas más ruidosas. Entre los filtros se incluyen:
UDP-NEW\\(Normal Operation,0\\)
Session Idle Timeout
\\[Request\\] Allow
\\[Request\\] Remove
\\[Sync\\] Changed: Transport
Session PHS: Authentication request from user
Tunnel has now one working transport
Session -------- Tunnel
Abort TCP transport
Info CHHUNFWHQ-01 Session
: Accounting LOGIN
State: REM\\(Unreachable Timeout,20\\)
read failed\\(IOStreamSock: Receive\\(\\) end of file\\) closing connection
DH attributes found in request, generating new key
\\[Sync\\] Changed: Checking Transports
State: UDP-FAIL\\(Port Unreachable,3\\)
DH key agreement successful
Request Timeout \\(HandshakeRequest ReqState=Init RepState=Init\\) -> terminate session
\\[Sync\\] Local: Update Transport
send fast reply
\\[Sync\\] Session Command
\\[HASYNC\\] update
Transport .* State changed to
Accounting LOGOUT
TCP.*close on command
Rule: Authentication Login
Rule: Authentication Logout
Error.*Request Timeout
Info.*Delete Transport
Info.*\\[HASYNC\\]
Notice.*\\[HASYNC\\]
Warning.*Tunnel Heartbeat failed
Info.*Worker Process.*timeout
Error.*Operation: Poll.*Timeout
Info.*\\(New Request
Info.*\\(Normal Operation
Muestra de asignaciones de amenazas
Usamos fields.message para asignaciones de amenazas donde esté presente, o buscamos un código en el campo de información de los tipos de eventos estándar. Consulte Eventos de seguridad.
"alertType": "=> searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.message"
Muestras:
{"alertType": "Number of child processes automatically set to N based on number of CPU cores and size of RAM", "threatId": "T1057", "threatName": "Process Discovery"}
{"alertType": "found no explicit phase1 aggressive configuration in IP_ADDRESS for client", "threatId": "T1573", "threatName": "Encrypted Channel"}