Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=palo-alto-overview

Integración de Palo Alto PAN-OS

Recopilador de registros Firewall

Puede integrar Palo Alto PAN-OS con Sophos Central para que envíe alertas a Sophos para analizarlas.

Esta página presenta una visión general de la integración.

Resumen del producto Palo Alto PAN-OS

Panorama PAN-OS de Palo Alto Networks es un sistema centralizado de gestión de la seguridad que ofrece a los usuarios visibilidad global, control de políticas y automatización del flujo de trabajo en la totalidad de su despliegue de firewall. Se trata de un enfoque holístico de la seguridad de la red, que garantiza una cobertura uniforme e información sobre amenazas en tiempo real.

Documentos de Sophos

Integrar Palo Alto PAN-OS

Datos que ingerimos

Ingerimos registros Threat, WildFire Submission y Global Protect y un subconjunto de registros Traffic.

Ejemplos de alertas vistas por Sophos:

  • Vulnerabilidad de ejecución de código remoto H2 de Spring Boot Actuator H2 (93279)
  • Vulnerabilidad de desbordamiento del búfer de la pila de análisis de URL de RealNetworks RealPlayer (37255)
  • Vulnerabilidad de omisión de autenticación de dispositivos Dahua Security DVR (38926)
  • Detección NTLMSSP de Microsoft Windows (92322)
  • Nombre de usuario y/o contraseña comprometidos de una vulneración de datos anterior en el inicio de sesión de FTP entrante (FIRMA)

Alertas ingeridas en su totalidad

Para conocer nuestras recomendaciones sobre la configuración del reenvío de registros, consulte Integrar Palo Alto PAN-OS.

Filtrado

Filtramos los registros de la siguiente manera.

Filtro de agente

  • PERMITIMOS un valor CEF válido.
  • DESCARTAMOS los registros de tráfico.

Filtro de plataforma

  • DESCARTAMOS varios mensajes y registros revisados y no relacionados con la seguridad.
  • DESCARTAMOS los registros de solicitudes DNS.
  • DESCARTAMOS algunos registros VPN.
  • DESCARTAMOS los registros de Wildfire clasificados como benign.
  • DESCARTAMOS varios mensajes especificados de alto volumen y bajo valor.

Muestra de asignaciones de amenazas

Para determinar el tipo de alerta, utilizamos uno de estos campos, dependiendo de la clasificación de alerta y los campos que incluye.

  • cef.deviceEventClassID
  • PanOSThreatCategory
"value": "=> !isEmpty(fields.cat) && !is(fields.cat, 'vulnerability') ? searchRegexList(fields.cat, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.cat, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.cat : !isEmpty(fields.cat) && is(fields.cat, 'vulnerability') ? searchRegexList(cef.deviceEventClassID, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) ?searchRegexList(cef.deviceEventClassID, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) : cef.deviceEventClassID : isEmpty(fields.cat) && !isEmpty(fields.PanOSThreatCategory) ? fields.PanOSThreatCategory : undefined",

Asignaciones de ejemplo:

{"alertType": "Apache Log4j Remote Code Execution Vulnerability(N)", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "RealVNC VNC Server ClientCutText Message Memory Corruption Vulnerability(33672)", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "DOCX With Attached Templates In Multiple Attacks(86646)", "threatId": "T1221", "threatName": "Template Injection"}
{"alertType": "Generic Cross-Site Scripting Vulnerability(94093)", "threatId": "T1189", "threatName": "Drive-by Compromise"}
{"alertType": "Fastflux:DOMAIN(N)", "threatId": "T1036", "threatName": "Masquerading"}
{"alertType": "Virus.ramnit:lfjyaf.com(121569082)", "threatId": "TA0002", "threatName": "Execution"}
{"alertType": "OpenSSL SSL_check_chain NULL Pointer Dereference Vulnerability(58033)"  "threatId": "T1573", "threatName": "Encrypted Channel"}
{"alertType": "Microsoft Office File Embedded in PDF File Detection(86796)", "threatId": "T1204.002", "threatName": "Malicious File"}

Documentación del proveedor

Configurar el reenvío de registros