コンテンツにスキップ
MDR のサポート提供の詳細をご確認ください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=barracuda-cloudgen-overview

Barracuda CloudGen の統合

Barracuda CloudGen を Sophos Central と統合して、解析のためにソフォスに警告を送信することができます。

このページでは、統合の概要を説明します。

Barracuda CloudGen の概要

Barracuda CloudGen Firewall は、クラウドおよびハイブリッドネットワーク向けの包括的なセキュリティソリューションを提供します。ファイアウォールにより、サイト間の接続性が向上し、クラウドでホストされているアプリケーションへの中断のないアクセスが可能になります。高度な脅威対策やグローバルインテリジェンスネットワークなどの多層防御を備えた Barracuda は、ランサムウェアやゼロデイ攻撃などの多様なサイバー脅威に対するリアルタイムの保護を提供します。物理環境とクラウド環境に展開可能で、シームレスな接続を実現する統合 SD-WAN 機能と、導入の簡素化と包括的なネットワーク可視性を実現する一元管理ツールを提供します。

ソフォス製品ドキュメント

Barracuda CloudGen の統合

取り込まれる内容

ソフォスで表示される警告の例:

  • Login from IP_ADDRESS:Denied:Firewall Rule RULE
  • rolled out network relevant configuration files
  • Load Config from FILE
  • Plug and Play ACPI device, ID (active)
  • starting VPN client
  • FW UDP Connection Limit Exceeded
  • FW Rule Warning
  • FW Flood Ping Protection Activated

完全に取り込まれる警告

Barracuda CloudGen ファイアウォールからの Detailed Firewall Reporting syslog 出力を設定することをお勧めしますが、これは重要なフィルタリングの対象となるため、有用なセキュリティ警告のみを処理するようになります。

大半の警告は正規表現で標準化されています。

フィルタリング

現在、最も報告の多い内容への警告をフィルタリングしています。フィルタリングには次のものが含まれます。

  • UDP-NEW\(Normal Operation,0\)
  • Session Idle Timeout
  • \[Request\] Allow
  • \[Request\] Remove
  • \[Sync\] Changed:Transport
  • Session PHS:Authentication request from user
  • Tunnel has now one working transport
  • Session -------- Tunnel
  • Abort TCP transport
  • Info CHHUNFWHQ-01 Session
  • :Accounting LOGIN
  • State: REM\\(Unreachable Timeout,20\\)
  • read failed\(IOStreamSock:Receive\\(\\) end of file\\) closing connection
  • DH attributes found in request, generating new key
  • \[Sync\] Changed:Checking Transports
  • State: UDP-FAIL\\(Port Unreachable,3\\)
  • DH key agreement successful
  • Request Timeout \(HandshakeRequest ReqState=Init RepState=Init\) -> terminate session
  • \[Sync\] Local:Update Transport
  • send fast reply
  • \[Sync\] Session Command
  • \[HASYNC\] update
  • Transport .* State changed to
  • Accounting LOGOUT
  • TCP.*close on command
  • Rule:Authentication Login
  • Rule:Authentication Logout
  • Error.*Request Timeout
  • Info.*Delete Transport
  • Info.*\[HASYNC\]
  • Notice.*\[HASYNC\]
  • Warning.*Tunnel Heartbeat failed
  • Info.*Worker Process.*timeout
  • Error.*Operation:Poll.\*Timeout
  • Info.*\(New Request
  • Info.*\(Normal Operation

脅威マッピングの例

脅威マッピングに fields.message を使用するか、標準イベントの種類の info フィールドからコードを検索します。セキュリティイベントを参照してください。

"alertType": "=> searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.message"

サンプル:

{"alertType":"Number of child processes automatically set to N based on number of CPU cores and size of RAM", "threatId":"T1057", "threatName":"Process Discovery"}
{"alertType": "found no explicit phase1 aggressive configuration in IP_ADDRESS for client", "threatId":"T1573", "threatName":"Encrypted Channel"}

ベンダーのドキュメント