Integrazione WatchGuard Firebox
È possibile integrare WatchGuard Firebox con Sophos Central, per permetterne l’invio dei dati a Sophos.
Questa pagina fornisce una panoramica dell’integrazione.
Panoramica del prodotto WatchGuard Firebox
WatchGuard offre una selezione di firewall facili da installare e da gestire, realizzati per soddisfare le esigenze specifiche di aziende di qualsiasi dimensione. La sua soluzione si concentra principalmente su rilevamento e risposta, con tecnologie che offrono visibilità immediata sulle attività della rete e che si basano su dati di intelligence sulle minacce.
Documenti Sophos
Integrazione di WatchGuard Firebox
I dati raccolti e inseriti
Esempi di avvisi visualizzati da Sophos:
blocked sites (reason IP scan attack)ProxyDeny: DNS invalid number of questionsAuthentication of ACCOUNT_TYPE user [USERNAME] from IP_ADDRESS was rejected, received an Access-Reject response from the (IP_ADDRESS) serverblocked sites (TOR blocking source)SSL VPN user NAME from IP_ADDRESS logged in assigned virtual IP is IP_ADDRESSRogue Access Point detected at MAC, broadcasting SSID NAMEAuthentication error. no matching session found for USERNAME.Device already has the latest TYPE signature version VERSIONProxyDrop: HTTP Virus foundProxyStrip: HTTP header malformedCannot start the signature update for 'TOR'Certificate (CERTIFICATE) is not valid.ProxyDeny: SMTP To addressWireless country specification from LiveSecurity Service was not received: error can't get country spec response from LiveSecurity Service, (retry_countN)Manual MICROSOFT365 update started'LIVESECURITY' feature expired (DATE) prior to package release date (DATE)sendalarm: failed to send alarm messageblocked sites (ThreatSync destination)WEB Microsoft IIS HTTP.sys Remote Code Execution Vulnerability (CVE-2015-1635)WEB Apache HTTPD mod_proxy_ajp Denial Of Service (CVE-2011-3348)Shutdown requested by systemVIRUS Eicar test string NDDOS from client IP_ADDRESS detected.WEB PHPUnit CVE-2017-9841 Arbitrary Code Execution VulnerabilitySSH Brute Force Login N
Filtraggio
Filtriamo i messaggi nel modo indicato di seguito:
Filtro dell’agente
- Vengono AUTORIZZATI tutti i log.
- Vengono RILASCIATI vari messaggi specificati, caratterizzati da un alto volume e un valore basso.
Filtro della piattaforma
- Vengono AUTORIZZATI i LEEF validi.
- Vengono RILASCIATI vari messaggi e log controllati e non correlati alla sicurezza.
- Vengono RILASCIATI vari messaggi specificati, caratterizzati da un alto volume e un valore basso.
Esempi di mapping delle minacce
Utilizziamo uno di questi campi per stabilire il tipo di avviso, in base alla classificazione dell’avviso e ai campi che include.
fields.msgfields.IPS_ruleleef.eventID
"value": "=> !isEmpty(fields.msg) ? is(fields.msg, 'IPS detected') ? searchRegexList(fields.IPS_rule, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.IPS_rule, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.IPS_rule : searchRegexList(fields.msg, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.msg, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.msg : getNestedValue(_.referenceValues.code_translation, 'alert_translation', leef.eventId) ? getNestedValue(_.referenceValues.code_translation, 'alert_translation', leef.eventId) : getNestedValue(_.globalReferenceValues.code_translation, 'alert_translation', leef.eventId) ? getNestedValue(_.globalReferenceValues.code_translation, 'alert_translation', leef.eventId) : leef.eventId"
Mapping di esempio:
{"alertType": "ProxyAllow: HTTP Range header", "threatId": "T1498", "threatName": "Network Denial of Service"}
{"alertType": "Scheduled GAV update started", "threatId": "TA0005", "threatName": "Defense Evasion"}
{"alertType": "IPS detected", "threatId": "T1562.001", "threatName": "Disable or Modify Tools"}