Integración de Check Point Quantum Firewall
Puede integrar Check Point Quantum Firewall con Sophos Central para que envíe los datos de auditoría a Sophos para analizarlos.
Esta página presenta una visión general de la integración.
Presentación del producto de Check Point Quantum Firewall
El firewall ITP de Check Point es una solución de seguridad integrada diseñada para ofrecer una protección completa contra las amenazas en toda la infraestructura de TI. Gracias a la información sobre amenazas en tiempo real y a las tecnologías de prevención avanzadas, garantiza que las redes permanezcan seguras frente a las amenazas conocidas y emergentes.
Documentos de Sophos
Integrar Check Point Quantum Firewall
Datos que ingerimos
Ejemplos de alertas vistas por Sophos:
Streaming Engine: TCP anomaly detectedMalformed PacketSSL Enforcement ViolationBackdoor.WIN32.Zegost.ATrojan.Win32.HackerDefender.AMalware.TC.268bRWCTPhishing.RS.TC.29f5jdTiSYN AttackVirus.WIN32.Sality.DYMicrosoft Exchange Server Remote Code ExecutionNetwork Denial of Service Based Attack Detected on ConnectionNostromo Web Server Directory Traversal (CVE-2019-16278)
Filtrado
Filtramos los mensajes de la siguiente manera:
- Solo ACEPTAMOS alertas que utilicen un formato de evento común (CEF) válido.
Muestra de asignaciones de amenazas
Utilizamos uno de estos campos para determinar el tipo de alerta, dependiendo de la clasificación de la alerta y de los campos que incluya.
cef.deviceEventClassIDcef.namemsgproduct"value": "=> is(fields.product, 'SmartDefense') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Attack Information') && !is(fields.flexString2, 'Other') ? searchRegexList(fields.flexString2, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.flexString2, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.flexString2 : is(fields.product, 'Application Control') ? cef.deviceEventClassID : is(fields.product, 'New Anti Virus') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Malware Action') && !is(fields.flexString2, 'Other') ? fields.flexString2 : is(fields.product, 'Anti Malware') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Malware Action') && !is(fields.flexString2, 'Other') ? fields.flexString2 : is(fields.product, 'New Anti Virus') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Malware Action') && is(fields.flexString2, 'Other') ? cef.name : is(fields.product, 'Anti Malware') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Malware Action') && is(fields.flexString2, 'Other') ? cef.name : !isEmpty(fields.msg) ? searchRegexList(fields.msg, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.msg, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.msg : !isEmpty(fields.product) ? fields.product : undefined"
Asignaciones de ejemplo:
{"alertType": "Extracted files name: NAME Extracted files type: TYPE Extracted files sha1: SHA Extracted files verdict: VERDICT", "threatId": "T1598.002", "threatName": "Spearphishing Attachment"}
{"alertType": "Gallery search engine cross-site scripting", "threatId": "T1189", "threatName": "Drive-by Compromise"}
{"alertType": "Address spoofing", "threatId": "T1036", "threatName": "Masquerading"}