Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=watchguard-overview

Integración de WatchGuard Firebox

Recopilador de registros Firewall

Puede integrar WatchGuard Firebox con Sophos Central para que envíe datos a Sophos.

Esta página presenta una visión general de la integración.

Presentación del producto de WatchGuard Firebox

WatchGuard ofrece una gama de firewalls fáciles de desplegar y administrar adaptados a empresas de cualquier tamaño. Sus soluciones se centran en la detección y respuesta a amenazas avanzadas, mejoradas por una rápida visibilidad de la actividad de la red y respaldadas por la recopilación de información sobre amenazas.

Documentos de Sophos

Integrar WatchGuard Firebox

Datos que ingerimos

Ejemplos de alertas vistas por Sophos:

  • blocked sites (reason IP scan attack)
  • ProxyDeny: DNS invalid number of questions
  • Authentication of ACCOUNT_TYPE user [USERNAME] from IP_ADDRESS was rejected, received an Access-Reject response from the (IP_ADDRESS) server
  • blocked sites (TOR blocking source)
  • SSL VPN user NAME from IP_ADDRESS logged in assigned virtual IP is IP_ADDRESS
  • Rogue Access Point detected at MAC, broadcasting SSID NAME
  • Authentication error. no matching session found for USERNAME.
  • Device already has the latest TYPE signature version VERSION
  • ProxyDrop: HTTP Virus found
  • ProxyStrip: HTTP header malformed
  • Cannot start the signature update for 'TOR'
  • Certificate (CERTIFICATE) is not valid.
  • ProxyDeny: SMTP To address
  • Wireless country specification from LiveSecurity Service was not received: error can't get country spec response from LiveSecurity Service, (retry_countN)
  • Manual MICROSOFT365 update started
  • 'LIVESECURITY' feature expired (DATE) prior to package release date (DATE)
  • sendalarm: failed to send alarm message
  • blocked sites (ThreatSync destination)
  • WEB Microsoft IIS HTTP.sys Remote Code Execution Vulnerability (CVE-2015-1635)
  • WEB Apache HTTPD mod_proxy_ajp Denial Of Service (CVE-2011-3348)
  • Shutdown requested by system
  • VIRUS Eicar test string N
  • DDOS from client IP_ADDRESS detected.
  • WEB PHPUnit CVE-2017-9841 Arbitrary Code Execution Vulnerability
  • SSH Brute Force Login N

Filtrado

Filtramos los mensajes de la siguiente manera:

Filtro de agente

  • ACEPTAMOS todos los registros.
  • DESCARTAMOS varios mensajes especificados de alto volumen y bajo valor.

Filtro de plataforma

  • ACEPTAMOS los formatos LEEF válidos.
  • DESCARTAMOS varios mensajes y registros revisados y no relacionados con la seguridad.
  • DESCARTAMOS varios mensajes especificados de alto volumen y bajo valor.

Muestra de asignaciones de amenazas

Utilizamos uno de estos campos para determinar el tipo de alerta, dependiendo de la clasificación de la alerta y de los campos que incluya.

  • fields.msg
  • fields.IPS_rule
  • leef.eventID
"value": "=> !isEmpty(fields.msg) ? is(fields.msg, 'IPS detected') ? searchRegexList(fields.IPS_rule, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ?  searchRegexList(fields.IPS_rule, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) :  fields.IPS_rule : searchRegexList(fields.msg, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.msg, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.msg : getNestedValue(_.referenceValues.code_translation, 'alert_translation', leef.eventId) ? getNestedValue(_.referenceValues.code_translation, 'alert_translation', leef.eventId) :  getNestedValue(_.globalReferenceValues.code_translation, 'alert_translation', leef.eventId) ? getNestedValue(_.globalReferenceValues.code_translation, 'alert_translation', leef.eventId) : leef.eventId"

Asignaciones de ejemplo:

{"alertType": "ProxyAllow: HTTP Range header", "threatId": "T1498", "threatName": "Network Denial of Service"}
{"alertType": "Scheduled GAV update started", "threatId": "TA0005", "threatName": "Defense Evasion"}
{"alertType": "IPS detected", "threatId": "T1562.001", "threatName": "Disable or Modify Tools"}

Documentación del proveedor