WatchGuard Firebox 統合
WatchGuard Firebox に Sophos Central と統合すると、ソフォスにデータを送信できるようになります。
このページでは、統合の概要を説明します。
WatchGuard Firebox 製品の概要
WatchGuard は、あらゆる規模の企業向けに合わせてカスタマイズされた、導入と管理が容易なファイアウォールを幅広く提供しています。同社のソリューションは、ネットワークアクティビティの迅速な可視化と脅威インテリジェンスの支援によって強化された、高度な脅威の検出と対応に重点を置いています。
ソフォス製品ドキュメント
取り込まれる内容
ソフォスで表示される警告の例:
blocked sites (reason IP scan attack)
ProxyDeny: DNS invalid number of questions
Authentication of ACCOUNT_TYPE user [USERNAME] from IP_ADDRESS was rejected, received an Access-Reject response from the (IP_ADDRESS) server
blocked sites (TOR blocking source)
SSL VPN user NAME from IP_ADDRESS logged in assigned virtual IP is IP_ADDRESS
Rogue Access Point detected at MAC, broadcasting SSID NAME
Authentication error. no matching session found for USERNAME.
Device already has the latest TYPE signature version VERSION
ProxyDrop: HTTP Virus found
ProxyStrip: HTTP header malformed
Cannot start the signature update for 'TOR'
Certificate (CERTIFICATE) is not valid.
ProxyDeny: SMTP To address
Wireless country specification from LiveSecurity Service was not received: error can't get country spec response from LiveSecurity Service, (retry_countN)
Manual MICROSOFT365 update started
'LIVESECURITY' feature expired (DATE) prior to package release date (DATE)
sendalarm: failed to send alarm message
blocked sites (ThreatSync destination)
WEB Microsoft IIS HTTP.sys Remote Code Execution Vulnerability (CVE-2015-1635)
WEB Apache HTTPD mod_proxy_ajp Denial Of Service (CVE-2011-3348)
Shutdown requested by system
VIRUS Eicar test string N
DDOS from client IP_ADDRESS detected.
WEB PHPUnit CVE-2017-9841 Arbitrary Code Execution Vulnerability
SSH Brute Force Login N
フィルタリング
メッセージは次のようにフィルタリングされます。
エージェントフィルタ
- すべてのログを許可します。
- 大量および価値が低いと指定されたさまざまなメッセージをドロップします。
プラットフォームフィルタ
- 有効な LEEF を許可します。
- 確認済みのさまざまなメッセージやセキュリティ関連以外のメッセージやログをドロップします。
- 大量および価値が低いと指定されたさまざまなメッセージをドロップします。
脅威マッピングの例
警告の種類を判別するために、警告の分類とそれに含まれるフィールドに応じて、これらのフィールドのいずれかを使用します。
fields.msg
fields.IPS_rule
leef.eventID
"value": "=> !isEmpty(fields.msg) ? is(fields.msg, 'IPS detected') ? searchRegexList(fields.IPS_rule, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.IPS_rule, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.IPS_rule : searchRegexList(fields.msg, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.msg, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.msg : getNestedValue(_.referenceValues.code_translation, 'alert_translation', leef.eventId) ? getNestedValue(_.referenceValues.code_translation, 'alert_translation', leef.eventId) : getNestedValue(_.globalReferenceValues.code_translation, 'alert_translation', leef.eventId) ? getNestedValue(_.globalReferenceValues.code_translation, 'alert_translation', leef.eventId) : leef.eventId"
マッピングの例:
{"alertType": "ProxyAllow: HTTP Range header", "threatId": "T1498", "threatName": "Network Denial of Service"}
{"alertType": "Scheduled GAV update started", "threatId": "TA0005", "threatName": "Defense Evasion"}
{"alertType": "IPS detected", "threatId": "T1562.001", "threatName": "Disable or Modify Tools"}