Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=forcepoint-index

Integración de Forcepoint

Recopilador de registros Firewall

Puede integrar Forcepoint Next-Generation Firewall (NGFW) con Sophos Central para que envíe alertas a Sophos para analizarlas.

Esta página presenta una visión general de la integración.

Presentación del producto de Forcepoint

Forcepoint Next-Generation Firewall (NGFW) utiliza sofisticados mecanismos que proporcionan visibilidad, control y análisis contextual del tráfico de red, lo que permite realizar ajustes dinámicos en las políticas y defensas de seguridad. Sirviéndose de tecnologías avanzadas y de un enfoque centrado en el usuario, el firewall permite una sólida prevención y detección de amenazas, salvaguardando los recursos, los datos y la infraestructura de red de una organización.

Documentos de Sophos

Datos que ingerimos

Ejemplos de alertas que vemos:

  • China.Chopper.Web.Shell.Client.Connection
  • Easy.Hosting.Control.Panel.FTP.Account.Security.Bypass
  • HTTP.URI.SQL.Injection
  • Malicious.HTTP.URI.Requests
  • Joomla!.com_fields.SQL.Injection

Alertas ingeridas en su totalidad

Le recomendamos que configure la salida de Syslog estándar de Forcepoint, que incluye los siguientes temas:

  • Daemon de reloj para sistemas BSD
  • Daemon de reloj para sistemas System V
  • Protocolo de transferencia de archivos
  • Mensajes del kernel
  • Subsistema de la impresora conectada
  • Sistema de correo
  • Mensajes generados internamente por syslogd
  • Subsistema de novedades de red
  • Protocolo de tiempo de red
  • Mensajes aleatorios a nivel de usuario
  • Mensajes de seguridad/autorización
  • Mensajes de seguridad/autorización (privados)
  • Daemons de sistema
  • Subsistema UUCP

Para la salida de Syslog estándar, consulte Entradas de Syslog.

Filtrado

Filtramos las alertas de la siguiente manera.

Autorizar

CEF válido

Descartar

Descripción

Estas entradas se clasifican como eventos no relacionados con la seguridad según la opinión de nuestro equipo de analistas de MDR. Incluyen principalmente actividades rutinarias de VPN, operaciones de red estándar y mensajes automatizados del sistema que son repetitivos y generalmente no críticos, por lo que el registro no es necesario.

Patrones de Regex

  • msg=Connection dropped
  • msg=Delete notification received for .* SPI
  • \\|File-Filtering-Policy_Buffering-Limit-Exceeded\\|
  • \\|FW_New-SSL-VPN-Connection\\|
  • msg=IPsec SA Import succeeded
Ejemplos
  • msg=IPsec SA initiator done. Rekeyed SPI: .* Encryption:.*, mac:.*
  • msg=IPsec SA responder done
  • msg=IKE SA deleted
  • msg=IKEv2 SA error: Timed out
  • msg=IKEv2 SA initiator failed, Local auth method: Reserved, Remote auth method: Reserved
  • msg=IPsec SA initiator error: Timed out
  • msg=Message type ack. XID: .* Relay ip .* Server ID: .* DNS: .* DNS: .* Domain: .*
  • msg=Message type offer. XID: .* Relay ip .* Server ID: .* DNS: .* DNS: .* Domain: .*
  • msg=Sending Dead Peer Detection notify \\(.*\\)
  • msg=Starting IKEv2 initiator negotiation
  • \\|TCP_Option-Unknown\\|
  • \\|URL_Category-Accounting\\|
  • msg=New engine upgrades available on Forcepoint web site: Engine upgrades NGFW upgrade .* build \\d+ for .*
  • \\|TCP_Segment-SYN-No-Options\\|
  • msg=Connection was reset by client
  • \\|FW_New-Route-Based-VPN-Connection\\|0\\|.* act=Discard
  • \\|TCP_Checksum-Mismatch\\|
  • msg=Notifications: N\\(HTTP_CERT_LOOKUP_SUPPORTED\\), N\\(MESSAGE_ID_SYNC_SUPPORTED\\), N\\(ESP_TFC_PADDING_NOT_SUPPORTED\\), N\\(NON_FIRST_FRAGMENTS_ALSO\\)
  • \\|FW_New-IPsec-VPN-Connection\\|
  • \\|FW_Related-Connection\\|
  • \\|Connection_Progress\\|
  • msg=Connection was reset by server
  • msg=Connection timeout in state TCP_SYN_SEEN
  • \\|Connection_Rematched\\|
  • \\|Connection_Allowed\\|
  • \\|Connection_Discarded\\|
  • \\|Connection_Closed\\|
  • \\|Log_Compress-SIDs\\|
  • act=Allow msg=Referred connection
  • \\|FW_New-Route-Based-VPN-Connection\\|0\\|.* act=Allow
  • \\|HTTP_URL-Logged\\|1\\|.* act=Permit
  • msg=Message type \\w+. XID: .*. Relay ip .*. Relayed to .*
  • \\|Generic\\|0\\|.*msg=Rekeyed IPsec SA installed. Inbound
  • msg=HISTORY: PID\\W+\\d+ UID\\W+\\d+ USER\\W+\\w+
  • msg=\\[I\\]\\[.*\\] Gid map: inside_gid:\\d+ outside_gid:\\d+ count:\\d+
  • msg=\\[I\\]\\[.*\\] Jail parameters
  • msg=\\[I\\]\\[.*\\] Uid map: inside_uid:\\d+ outside_uid:\\d+ count:\\d+
  • msg=\\[I\\]\\[.*\\] pid\\W+\\d+ \\(\\[STANDALONE MODE\\]\\) exited with status: \\d+, \\(PIDs left: \\d+\\)
  • msg=\\[I\\]\\[.*\\] Mount: .* flags:.* type:.* options:.* dir:.*
  • \\|DNS_Client-Type-Unknown\\|2\\|.* act=Permit
  • \\|File_Allowed\\|1\\|.* act=Permit
  • \\|HTTP_Request-with-redirect-capability\\|1\\|
  • \\|FW_Info-Request\\|0\\|
  • \\|Generic\\|0\\|.*msg=\\[\\d+\\.\\d+\\].*

Muestra de asignaciones de amenazas

"alertType": "Mirai.Botnet", "threatId": "T1498", "threatName": "Network Denial of Service",
"alertType": "WIFICAM.P2P.GoAhead.Multiple.Remote.Code.Execution", "threatId": "T1203", "threatName": "Exploitation for Client Execution",
"alertType": "TCP.Split.Handshake", "threatId": "T1082", "threatName": "System Information Discovery",
"alertType": "WePresent.WiPG1000.Command.Injection", "threatId": "T1203", "threatName": "Exploitation for Client Execution",
"alertType": "Open.Flash.Chart.PHP.File.Upload", "threatId": "T1105", "threatName": "Ingress Tool Transfer",

Documentación del proveedor