Integrazione Check Point Quantum Firewall
Check Point Quantum Firewall può essere integrato con Sophos Central per l’invio dei dati di audit a Sophos a scopo di analisi.
Questa pagina fornisce una panoramica dell’integrazione.
Panoramica del prodotto Check Point Quantum Firewall
CheckPoint ITP Firewall è una soluzione di sicurezza integrata, progettata per fornire protezione completa contro le minacce nell’intera infrastruttura IT. Grazie ai dati di intelligence sulle minacce aggiornati in tempo reale e alle sue tecnologie avanzate di prevenzione, garantisce la protezione della rete sia contro le minacce note che contro quelle emergenti.
Documenti Sophos
Integrazione di Check Point Quantum Firewall
I dati raccolti e inseriti
Esempi di avvisi visualizzati da Sophos:
Streaming Engine: TCP anomaly detectedMalformed PacketSSL Enforcement ViolationBackdoor.WIN32.Zegost.ATrojan.Win32.HackerDefender.AMalware.TC.268bRWCTPhishing.RS.TC.29f5jdTiSYN AttackVirus.WIN32.Sality.DYMicrosoft Exchange Server Remote Code ExecutionNetwork Denial of Service Based Attack Detected on ConnectionNostromo Web Server Directory Traversal (CVE-2019-16278)
Filtraggio
Filtriamo i messaggi nel modo indicato di seguito:
- Vengono AUTORIZZATI solo gli avvisi che utilizzano un formato Common Event Format (CEF) valido.
Esempi di mapping delle minacce
Utilizziamo uno di questi campi per stabilire il tipo di avviso, in base alla classificazione dell’avviso e ai campi che include.
cef.deviceEventClassIDcef.namemsgproduct"value": "=> is(fields.product, 'SmartDefense') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Attack Information') && !is(fields.flexString2, 'Other') ? searchRegexList(fields.flexString2, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.flexString2, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.flexString2 : is(fields.product, 'Application Control') ? cef.deviceEventClassID : is(fields.product, 'New Anti Virus') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Malware Action') && !is(fields.flexString2, 'Other') ? fields.flexString2 : is(fields.product, 'Anti Malware') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Malware Action') && !is(fields.flexString2, 'Other') ? fields.flexString2 : is(fields.product, 'New Anti Virus') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Malware Action') && is(fields.flexString2, 'Other') ? cef.name : is(fields.product, 'Anti Malware') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Malware Action') && is(fields.flexString2, 'Other') ? cef.name : !isEmpty(fields.msg) ? searchRegexList(fields.msg, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.msg, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.msg : !isEmpty(fields.product) ? fields.product : undefined"
Mapping di esempio:
{"alertType": "Extracted files name: NAME Extracted files type: TYPE Extracted files sha1: SHA Extracted files verdict: VERDICT", "threatId": "T1598.002", "threatName": "Spearphishing Attachment"}
{"alertType": "Gallery search engine cross-site scripting", "threatId": "T1189", "threatName": "Drive-by Compromise"}
{"alertType": "Address spoofing", "threatId": "T1036", "threatName": "Masquerading"}
Documentazione del vendor
Logging and Monitoring Administration Guide (Guida di amministrazione per log e monitoraggio R80.30)