주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.
MDR을 지원하는 방법에 대해 알아보십시오.

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=barracuda-cloudgen-overview

Barracuda CloudGen 통합

로그 수집기 방화벽

Sophos Central에 Barracuda CloudGen를 통합하면 Sophos로 경고를 전송하여 분석할 수 있습니다.

이 페이지에서는 통합에 대한 개요를 제공합니다.

바라쿠다 CloudGen 개요

Barracuda CloudGen Firewall은 클라우드 및 하이브리드 네트워크를 위한 포괄적인 보안 솔루션을 제공합니다. 이 방화벽은 사이트 간 연결을 개선하고 클라우드에서 호스팅되는 응용 프로그램에 중단 없이 액세스할 수 있도록 지원합니다. 고급 위협 보호 및 글로벌 인텔리전스 네트워크를 포함한 다층 방어 기능을 제공하는 Barracuda는 랜섬웨어 및 제로데이 공격과 같은 다양한 사이버 위협으로부터 실시간 보호를 보장합니다. 실제 환경과 클라우드 환경 모두에 배포할 수 있으며, 원활한 연결을 위한 통합형 SD-WAN 기능과 간소화된 배포 및 포괄적인 네트워크 가시성을 위한 중앙 집중식 관리 도구를 제공합니다.

Sophos 문서

Barracuda CloudGen 통합

우리가 섭취하는 것

Sophos에서 볼 수 있는 샘플 경고:

  • Login from IP_ADDRESS: Denied: Firewall Rule RULE
  • rolled out network relevant configuration files
  • Load Config from FILE
  • Plug and Play ACPI device, ID (active)
  • starting vpn client
  • FW UDP Connection Limit Exceeded
  • FW Rule Warning
  • FW Flood Ping Protection Activated

알림이 완전히 수집됨

Barracuda CloudGen 방화벽에서 자세한 방화벽 보고 syslog 출력을 구성하는 것이 좋습니다. 그러나 이 출력은 유용한 보안 경고만 처리하도록 상당한 필터링을 거칩니다.

대부분의 알림은 정규식으로 표준화됩니다.

필터링

현재 가장 시끄러운 알림을 필터링하고 있습니다. 필터에는 다음이 포함됩니다.

  • UDP-NEW\\(Normal Operation,0\\)
  • Session Idle Timeout
  • \\[Request\\] Allow
  • \\[Request\\] Remove
  • \\[Sync\\] Changed: Transport
  • Session PHS: Authentication request from user
  • Tunnel has now one working transport
  • Session -------- Tunnel
  • Abort TCP transport
  • Info CHHUNFWHQ-01 Session
  • : Accounting LOGIN
  • State: REM\\(Unreachable Timeout,20\\)
  • read failed\\(IOStreamSock: Receive\\(\\) end of file\\) closing connection
  • DH attributes found in request, generating new key
  • \\[Sync\\] Changed: Checking Transports
  • State: UDP-FAIL\\(Port Unreachable,3\\)
  • DH key agreement successful
  • Request Timeout \\(HandshakeRequest ReqState=Init RepState=Init\\) -> terminate session
  • \\[Sync\\] Local: Update Transport
  • send fast reply
  • \\[Sync\\] Session Command
  • \\[HASYNC\\] update
  • Transport .* State changed to
  • Accounting LOGOUT
  • TCP.*close on command
  • Rule: Authentication Login
  • Rule: Authentication Logout
  • Error.*Request Timeout
  • Info.*Delete Transport
  • Info.*\\[HASYNC\\]
  • Notice.*\\[HASYNC\\]
  • Warning.*Tunnel Heartbeat failed
  • Info.*Worker Process.*timeout
  • Error.*Operation: Poll.*Timeout
  • Info.*\\(New Request
  • Info.*\\(Normal Operation

위협 매핑 샘플

위협 매핑을 위해 fields.message를 사용하거나 표준 이벤트 유형의 정보 필드에서 코드를 조회합니다. 보안 이벤트를 참조하십시오.

"alertType": "=>searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]

샘플:

{"alertType": "Number of child processes automatically set to N based on number of CPU cores and size of RAM", "threatId": "T1057", "threatName": "Process Discovery"}
{"alertType": "found no explicit phase1 aggressive configuration in IP_ADDRESS for client", "threatId": "T1573", "threatName": "Encrypted Channel"}

공급업체 설명서