Integrazione F5 BIG-IP ASM
F5 BIG-IP ASM può essere integrato con Sophos Central per l’invio di avvisi a Sophos, a scopo di analisi.
Questa pagina fornisce una panoramica dell’integrazione.
Panoramica del prodotto F5
F5 BIG-IP Application Security Manager (ASM) è un’applicazione Web Application Firewall flessibile che protegge le applicazioni web in ambienti tradizionali e virtuali e nel cloud privato.
Documenti Sophos
I dati raccolti e inseriti
Esempi di avvisi che visualizziamo:
- HTTP Headers Injection (posizione)
- background: url() (parametro)
- location.href (parametro)
- download attribute (posizione)
- document.write (parametro)
Avvisi inseriti per intero
Si consiglia di configurare quanto segue:
- Response Logging for Illegal requests (Log di risposte per richieste illegali)
- Report Detected Anomalies (Segnala anomalie rilevate)
Filtraggio
Filtriamo gli avvisi in base al formato dei log, come segue:
- Allow valid CEF (Autorizza CEF valido).
Esempi di mapping delle minacce
{"alertType": "Illegal redirection attempt", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "Illegal file type", "threatId": "T1204.002", "threatName": "Malicious File"}
{"alertType": "Shell command processor (ash/bash) access (Parameter)N", "threatId": "T1505.003", "threatName": "Web Shell"}
{"alertType": "Illegal URL length", "threatId": "T1190", "threatName": "Exploit Public-Facing Application"}
{"alertType": "Server-side access to disallowed host", "threatId": "T1190", "threatName": "Exploit Public-Facing Application"}