Integrazione Barracuda CloudGen
Barracuda CloudGen può essere integrato con Sophos Central per l’invio di avvisi a Sophos, a scopo di analisi.
Questa pagina fornisce una panoramica dell’integrazione.
Panoramica di Barracuda CloudGen
Barracuda CloudGen Firewall offre soluzioni di sicurezza complete per le reti cloud e ibride. Il firewall migliora la connettività site-to-site e garantisce accesso ininterrotto alle applicazioni ospitate nel cloud. Grazie alle difese a più livelli (incluse protezione avanzata contro le minacce e reti di intelligence globale), Barracuda assicura protezione in tempo reale contro vari tipi di minacce informatiche, come i ransomware e gli attacchi zero-day. Il prodotto può essere distribuito sia in ambienti fisici che cloud e offre funzionalità SD-WAN integrate, per una connettività trasparente e utili strumenti di gestione centralizzata, che aiutano a semplificare la distribuzione e a garantire una visibilità completa sulla rete.
Documenti Sophos
Integrazione di Barracuda CloudGen
I dati raccolti e inseriti
Esempi di avvisi visualizzati da Sophos:
Login from IP_ADDRESS: Denied: Firewall Rule RULErolled out network relevant configuration filesLoad Config from FILEPlug and Play ACPI device, ID (active)starting vpn clientFW UDP Connection Limit ExceededFW Rule WarningFW Flood Ping Protection Activated
Avvisi inseriti per intero
Consigliamo di configurare l’output del syslog di Detailed Firewall Reporting dal firewall Barracuda CloudGen, ma questa opzione è soggetta a un livello di filtraggio significativo, che elabora solo gli avvisi di sicurezza utili.
La maggior parte degli avvisi è standardizzata con regex.
Filtraggio
Al momento filtriamo gli avvisi che contengono più informazioni superflue. I filtri includono:
UDP-NEW\\(Normal Operation,0\\)Session Idle Timeout\\[Request\\] Allow\\[Request\\] Remove\\[Sync\\] Changed: TransportSession PHS: Authentication request from userTunnel has now one working transportSession -------- TunnelAbort TCP transportInfo CHHUNFWHQ-01 Session: Accounting LOGINState: REM\\(Unreachable Timeout,20\\)read failed\\(IOStreamSock: Receive\\(\\) end of file\\) closing connectionDH attributes found in request, generating new key\\[Sync\\] Changed: Checking TransportsState: UDP-FAIL\\(Port Unreachable,3\\)DH key agreement successfulRequest Timeout \\(HandshakeRequest ReqState=Init RepState=Init\\) -> terminate session\\[Sync\\] Local: Update Transportsend fast reply\\[Sync\\] Session Command\\[HASYNC\\] updateTransport .* State changed toAccounting LOGOUTTCP.*close on commandRule: Authentication LoginRule: Authentication LogoutError.*Request TimeoutInfo.*Delete TransportInfo.*\\[HASYNC\\]Notice.*\\[HASYNC\\]Warning.*Tunnel Heartbeat failedInfo.*Worker Process.*timeoutError.*Operation: Poll.*TimeoutInfo.*\\(New RequestInfo.*\\(Normal Operation
Esempi di mapping delle minacce
Se è presente, utilizziamo fields.message per i mapping delle minacce, altrimenti cerchiamo un codice nel campo info dei tipi di eventi standard. Vedere Eventi di sicurezza.
"alertType": "=> searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.message"
Campioni:
{"alertType": "Number of child processes automatically set to N based on number of CPU cores and size of RAM", "threatId": "T1057", "threatName": "Process Discovery"}
{"alertType": "found no explicit phase1 aggressive configuration in IP_ADDRESS for client", "threatId": "T1573", "threatName": "Encrypted Channel"}