주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.
MDR을 지원하는 방법에 대해 알아보십시오.

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=checkpoint-overview

Check Point Quantum Firewall 방화벽 통합

로그 수집기 방화벽

Check Point Firewall 방화벽을 Sophos Central과 통합하여 분석을 위해 Sophos에 감사 데이터를 보낼 수 있습니다.

이 페이지에서는 통합에 대한 개요를 제공합니다.

Check Point Quantum Firewall 제품 개요

Check Point의 ITP Firewall은 전체 IT 인프라에 걸쳐 포괄적인 위협 보호를 제공하도록 설계된 통합 보안 솔루션입니다. 실시간 위협 인텔리전스와 고급 예방 기술을 활용하여 알려진 위협과 새로운 위협 모두로부터 네트워크를 안전하게 유지합니다.

Sophos 문서

Check Point Quantum Firewall 통합

수집되는 것

Sophos에서 볼 수 있는 샘플 경고:

  • Streaming Engine: TCP anomaly detected
  • Malformed Packet
  • SSL Enforcement Violation
  • Backdoor.WIN32.Zegost.A
  • Trojan.Win32.HackerDefender.A
  • Malware.TC.268bRWCT
  • Phishing.RS.TC.29f5jdTi
  • SYN Attack
  • Virus.WIN32.Sality.DY
  • Microsoft Exchange Server Remote Code Execution
  • Network Denial of Service Based Attack Detected on Connection
  • Nostromo Web Server Directory Traversal (CVE-2019-16278)

필터링

경고는 다음과 같이 필터링됩니다.

  • 우리는 유효한 공통 이벤트 형식 (CEF)을 사용하는 경보만 허용합니다.

샘플 위협 매핑

우리는 경보 분류와 해당 필드를 고려하여 경보 유형을 결정하는 데 이 필드 중 하나를 사용합니다.

  • cef.deviceEventClassID
  • cef.name
  • msg
  • product 
    "value": "=> is(fields.product, 'SmartDefense') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Attack Information') && !is(fields.flexString2, 'Other') ? searchRegexList(fields.flexString2, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.flexString2, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.flexString2 : is(fields.product, 'Application Control') ? cef.deviceEventClassID : is(fields.product, 'New Anti Virus') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Malware Action') && !is(fields.flexString2, 'Other') ? fields.flexString2 : is(fields.product, 'Anti Malware') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Malware Action') && !is(fields.flexString2, 'Other') ? fields.flexString2 : is(fields.product, 'New Anti Virus') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Malware Action') && is(fields.flexString2, 'Other') ? cef.name : is(fields.product, 'Anti Malware') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Malware Action') && is(fields.flexString2, 'Other') ? cef.name : !isEmpty(fields.msg) ? searchRegexList(fields.msg, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.msg, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.msg : !isEmpty(fields.product) ? fields.product : undefined"

샘플 매핑:

{"alertType": "Extracted files name: NAME Extracted files type: TYPE Extracted files sha1: SHA Extracted files verdict: VERDICT", "threatId": "T1598.002", "threatName": "Spearphishing Attachment"}
{"alertType": "Gallery search engine cross-site scripting", "threatId": "T1189", "threatName": "Drive-by Compromise"}
{"alertType": "Address spoofing", "threatId": "T1036", "threatName": "Masquerading"}

공급업체 설명서

Logging and Monitoring R80.30 Administration Guide