주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.
MDR을 지원하는 방법에 대해 알아보십시오.

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=barracuda-cloudgen-overview

Barracuda CloudGen 통합

Sophos Central에 Barracuda CloudGen를 통합하면 Sophos로 경고를 전송하여 분석할 수 있습니다.

이 페이지에서는 통합에 대한 개요를 제공합니다.

Barracuda CloudGen 개요

Barracuda CloudGen Firewall은 클라우드 및 하이브리드 네트워크를 위한 포괄적인 보안 솔루션을 제공합니다. 이 방화벽은 사이트 간 연결을 개선하고 클라우드에서 호스팅되는 응용 프로그램에 중단 없이 액세스할 수 있도록 지원합니다. 고급 위협 보호 및 글로벌 인텔리전스 네트워크를 포함한 다층 방어 기능을 제공하는 Barracuda는 랜섬웨어 및 제로데이 공격과 같은 다양한 사이버 위협으로부터 실시간 보호를 보장합니다. 실제 환경과 클라우드 환경 모두에 배포할 수 있으며, 원활한 연결을 위한 통합형 SD-WAN 기능과 간소화된 배포 및 포괄적인 네트워크 가시성을 위한 중앙 집중식 관리 도구를 제공합니다.

Sophos 문서

바라쿠다 CloudGen 통합

수집되는 것

Sophos에서 볼 수 있는 샘플 경고:

  • Login from IP_ADDRESS: Denied: Firewall Rule RULE
  • rolled out network relevant configuration files
  • Load Config from FILE
  • Plug and Play ACPI device, ID (active)
  • starting vpn client
  • FW UDP Connection Limit Exceeded
  • FW Rule Warning
  • FW Flood Ping Protection Activated

완전히 수집되는 경고

Barracuda CloudGen 방화벽에서 상세 방화벽 보고 syslog 출력을 구성하는 것이 좋지만, 유용한 보안 경고만 처리하도록 상당한 필터링이 적용됩니다.

대부분의 알림은 정규 표현식을 사용하여 표준화되어 있습니다.

필터링

현재 가장 시끄러운 알림을 필터링하고 있습니다. 필터에는 다음이 포함됩니다.

  • UDP-NEW\(Normal Operation,0\)
  • Session Idle Timeout
  • \[Request\] Allow
  • \[Request\] Remove
  • \[Sync\] Changed: Transport
  • Session PHS: Authentication request from user
  • Tunnel has now one working transport
  • Session -------- Tunnel
  • Abort TCP transport
  • Info CHHUNFWHQ-01 Session
  • : Accounting LOGIN
  • State: REM\\(Unreachable Timeout,20\\)
  • read failed\(IOStreamSock: Receive\\(\\) end of file\\) closing connection
  • DH attributes found in request, generating new key
  • \[Sync\] Changed: Checking Transports
  • State: UDP-FAIL\\(Port Unreachable,3\\)
  • DH key agreement successful
  • Request Timeout \(HandshakeRequest ReqState=Init RepState=Init\) -> terminate session
  • \[Sync\] Local: Update Transport
  • send fast reply
  • \[Sync\] Session Command
  • \[HASYNC\] update
  • Transport .* State changed to
  • Accounting LOGOUT
  • TCP.*close on command
  • Rule: Authentication Login
  • Rule: Authentication Logout
  • Error.*Request Timeout
  • Info.*Delete Transport
  • Info.*\[HASYNC\]
  • Notice.*\[HASYNC\]
  • Warning.*Tunnel Heartbeat failed
  • Info.*Worker Process.*timeout
  • Error.*Operation: Poll.\*Timeout
  • Info.*\(New Request
  • Info.*\(Normal Operation

샘플 위협 매핑

위협 매핑에 메시지가 있는 경우 fields.message를 사용하거나, 표준 이벤트 유형의 info 필드에서 코드를 조회합니다. 보안 이벤트를 참조하세요.

"alertType": "=> searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.message"

샘플:

{"alertType": "Number of child processes automatically set to N based on number of CPU cores and size of RAM", "threatId": "T1057", "threatName": "Process Discovery"}
{"alertType": "found no explicit phase1 aggressive configuration in IP_ADDRESS for client", "threatId": "T1573", "threatName": "Encrypted Channel"}

공급업체 설명서