Vai al contenuto
Il supporto che offriamo per MDR.

Integrazione Palo Alto PAN-OS

Palo Alto PAN-OS può essere integrato con Sophos Central per l’invio di avvisi a Sophos, a scopo di analisi.

Questa pagina fornisce una panoramica dell’integrazione.

Panoramica del prodotto Palo Alto PAN-OS

Panorama PAN-OS di Palo Alto Networks è un sistema centralizzato di gestione della sicurezza che offre agli utenti visibilità completa, controllo dei criteri e automazione dei flussi di lavoro per l’intera distribuzione firewall. Fornisce un approccio olistico alla protezione della rete, che garantisce una sicurezza omogenea e utilissimi dati di intelligence sulle minacce aggiornati in tempo reale.

Documenti Sophos

Integrazione di Palo Alto PAN-OS

I dati raccolti e inseriti

Inseriamo i log Threat e WildFire Submission e un sottoinsieme di log Traffic.

Esempi di avvisi visualizzati da Sophos:

  • Spring Boot Actuator H2 Remote Code Execution Vulnerability (93279)
  • RealNetworks RealPlayer URL Parsing Stack Buffer Overflow Vulnerability (37255)
  • Dahua Security DVR Appliances Authentication Bypass Vulnerability (38926)
  • Microsoft Windows NTLMSSP Detection (92322)
  • Compromised username and/or password from previous data breach in inbound FTP login (SIGNATURE)

Avvisi inseriti per intero

Per i nostri consigli su come configurare l’inoltro dei log, vedere Integrazione di Palo Alto PAN-OS.

Filtraggio

Filtriamo i log come indicato di seguito.

Filtro dell’agente

  • I CEF validi vengono AUTORIZZATI.
  • I log del traffico vengono RILASCIATI.

Filtro della piattaforma

  • Vengono RILASCIATI vari messaggi e log controllati e non correlati alla sicurezza.
  • Vengono RILASCIATI i log delle richieste DNS.
  • Vengono RILASCIATI alcuni log della VPN.
  • Vengono RILASCIATI i log Wildfire classificati come benign.
  • Vengono RILASCIATI vari messaggi specificati, caratterizzati da un alto volume e un valore basso.

Esempi di mapping delle minacce

Per determinare il tipo di avviso, viene utilizzato uno di questi campi, a seconda della classificazione degli avvisi e dei campi che include.

  • cef.deviceEventClassID
  • PanOSThreatCategory
"value": "=> !isEmpty(fields.cat) && !is(fields.cat, 'vulnerability') ? searchRegexList(fields.cat, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.cat, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.cat : !isEmpty(fields.cat) && is(fields.cat, 'vulnerability') ? searchRegexList(cef.deviceEventClassID, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) ?searchRegexList(cef.deviceEventClassID, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) : cef.deviceEventClassID : isEmpty(fields.cat) && !isEmpty(fields.PanOSThreatCategory) ? fields.PanOSThreatCategory : undefined",

Mapping di esempio:

{"alertType": "Apache Log4j Remote Code Execution Vulnerability(N)", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "RealVNC VNC Server ClientCutText Message Memory Corruption Vulnerability(33672)", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "DOCX With Attached Templates In Multiple Attacks(86646)", "threatId": "T1221", "threatName": "Template Injection"}
{"alertType": "Generic Cross-Site Scripting Vulnerability(94093)", "threatId": "T1189", "threatName": "Drive-by Compromise"}
{"alertType": "Fastflux:DOMAIN(N)", "threatId": "T1036", "threatName": "Masquerading"}
{"alertType": "Virus.ramnit:lfjyaf.com(121569082)", "threatId": "TA0002", "threatName": "Execution"}
{"alertType": "OpenSSL SSL_check_chain NULL Pointer Dereference Vulnerability(58033)"  "threatId": "T1573", "threatName": "Encrypted Channel"}
{"alertType": "Microsoft Office File Embedded in PDF File Detection(86796)", "threatId": "T1204.002", "threatName": "Malicious File"}

Documentazione del vendor

Configurazione dell’inoltro dei log