コンテンツにスキップ
MDR のサポート提供の詳細をご確認ください。

WatchGuard Firebox 統合

WatchGuard Firebox に Sophos Central と統合すると、ソフォスにデータを送信できるようになります。

このページでは、統合の概要を説明します。

WatchGuard Firebox 製品の概要

WatchGuard は、あらゆる規模の企業向けに合わせてカスタマイズされた、導入と管理が容易なファイアウォールを幅広く提供しています。同社のソリューションは、ネットワークアクティビティの迅速な可視化と脅威インテリジェンスの支援によって強化された、高度な脅威の検出と対応に重点を置いています。

ソフォス製品ドキュメント

WatchGuard Firebox 統合

取り込まれる内容

ソフォスで表示される警告の例:

  • blocked sites (reason IP scan attack)
  • ProxyDeny: DNS invalid number of questions
  • Authentication of ACCOUNT_TYPE user [USERNAME] from IP_ADDRESS was rejected, received an Access-Reject response from the (IP_ADDRESS) server
  • blocked sites (TOR blocking source)
  • SSL VPN user NAME from IP_ADDRESS logged in assigned virtual IP is IP_ADDRESS
  • Rogue Access Point detected at MAC, broadcasting SSID NAME
  • Authentication error. no matching session found for USERNAME.
  • Device already has the latest TYPE signature version VERSION
  • ProxyDrop: HTTP Virus found
  • ProxyStrip: HTTP header malformed
  • Cannot start the signature update for 'TOR'
  • Certificate (CERTIFICATE) is not valid.
  • ProxyDeny: SMTP To address
  • Wireless country specification from LiveSecurity Service was not received: error can't get country spec response from LiveSecurity Service, (retry_countN)
  • Manual MICROSOFT365 update started
  • 'LIVESECURITY' feature expired (DATE) prior to package release date (DATE)
  • sendalarm: failed to send alarm message
  • blocked sites (ThreatSync destination)
  • WEB Microsoft IIS HTTP.sys Remote Code Execution Vulnerability (CVE-2015-1635)
  • WEB Apache HTTPD mod_proxy_ajp Denial Of Service (CVE-2011-3348)
  • Shutdown requested by system
  • VIRUS Eicar test string N
  • DDOS from client IP_ADDRESS detected.
  • WEB PHPUnit CVE-2017-9841 Arbitrary Code Execution Vulnerability
  • SSH Brute Force Login N

フィルタリング

メッセージは次のようにフィルタリングされます。

エージェントフィルタ

  • すべてのログを許可します。
  • 大量および価値が低いと指定されたさまざまなメッセージをドロップします。

プラットフォームフィルタ

  • 有効な LEEF を許可します。
  • 確認済みのさまざまなメッセージやセキュリティ関連以外のメッセージやログをドロップします。
  • 大量および価値が低いと指定されたさまざまなメッセージをドロップします。

脅威マッピングの例

警告の種類を判別するために、警告の分類とそれに含まれるフィールドに応じて、これらのフィールドのいずれかを使用します。

  • fields.msg
  • fields.IPS_rule
  • leef.eventID
"value": "=> !isEmpty(fields.msg) ? is(fields.msg, 'IPS detected') ? searchRegexList(fields.IPS_rule, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ?  searchRegexList(fields.IPS_rule, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) :  fields.IPS_rule : searchRegexList(fields.msg, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.msg, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.msg : getNestedValue(_.referenceValues.code_translation, 'alert_translation', leef.eventId) ? getNestedValue(_.referenceValues.code_translation, 'alert_translation', leef.eventId) :  getNestedValue(_.globalReferenceValues.code_translation, 'alert_translation', leef.eventId) ? getNestedValue(_.globalReferenceValues.code_translation, 'alert_translation', leef.eventId) : leef.eventId"

マッピングの例:

{"alertType": "ProxyAllow: HTTP Range header", "threatId": "T1498", "threatName": "Network Denial of Service"}
{"alertType": "Scheduled GAV update started", "threatId": "TA0005", "threatName": "Defense Evasion"}
{"alertType": "IPS detected", "threatId": "T1562.001", "threatName": "Disable or Modify Tools"}

ベンダーのドキュメント