Resumen de la integración de Cisco Firepower

Recopilador de registros Firewall

Cisco Firepower es una solución de firewall que utiliza la información contextual en tiempo real para combinar en una plataforma integrada la protección frente a amenazas avanzadas, la prevención de intrusiones y un firewall next-gen.

Documentos de Sophos

Integrar Cisco Firepower

Datos que ingerimos

Ejemplos de alertas vistas por Sophos:

INDICATOR-COMPROMISE
MALWARE-CNC Win.Trojan.Njrat variant outbound connection
INDICATOR-SCAN SSH brute force login attempt
PROTOCOL-SCADA Moxa discovery packet information disclosure attempt
SERVER-WEBAPP Kibana Console for Elasticsearch local file inclusion attempt
FILE-PDF TRUFFLEHUNTER TALOS-2017-0505 attack attempt
SQL generic convert injection attempt - GET parameter
Executable Code was Detected
APP-DETECT Steam game URI handler
SERVER-APACHE Apache Struts remote code execution attempt
W32.975C0D48C4.RET.SBX.TG

Alertas ingeridas en su totalidad

Sophos ingiere alertas de seguridad. Deben contener Message: o ThreatName: en el Syslog.

A continuación, estas alertas se asignan a la versión 8 de Mitre Framework.

Filtrado

Solo ingerimos alertas relacionadas con eventos de seguridad. Deben contener los campos Message: o ThreatName: en el Syslog.

Consulte Cisco Secure Firewall Threat Defense: Security Event Syslog Messages.

Muestra de asignaciones de amenazas

Definimos el tipo de alerta de la siguiente manera:

Si el campo message existe, límpielo y utilícelo. De lo contrario, use el campo ThreatName.

{"alertType": "(ftp_server) FTP traffic encrypted", "threatId": "T1027", "threatName": "Obfuscated Files or Information"}
{"alertType": "PSNG_UDP_FILTERED_DISTRIBUTED_PORTSCAN", "threatId": "T1046", "threatName": "Network Service Scanning"}
{"alertType": "Misc Activity", "threatId": "TA0043", "threatName": "Reconnaissance"}