Cisco Firepower 통합 개요
Cisco Firepower는 실시간 상황 인식을 활용하여 지능형 위협 보호, 침입 방지 및 차세대 방화벽을 하나의 통합 플랫폼에 결합하는 방화벽 솔루션입니다.
Sophos 문서
수집되는 것
Sophos에서 볼 수 있는 샘플 경고:
INDICATOR-COMPROMISEMALWARE-CNC Win.Trojan.Njrat variant outbound connectionINDICATOR-SCAN SSH brute force login attemptPROTOCOL-SCADA Moxa discovery packet information disclosure attemptSERVER-WEBAPP Kibana Console for Elasticsearch local file inclusion attemptFILE-PDF TRUFFLEHUNTER TALOS-2017-0505 attack attemptSQL generic convert injection attempt - GET parameterExecutable Code was DetectedAPP-DETECT Steam game URI handlerSERVER-APACHE Apache Struts remote code execution attemptW32.975C0D48C4.RET.SBX.TG
완전히 수집되는 경고
데이터 수집(보안 경고) syslog에는 Message: 또는 ThreatName:이(가) 포함되어 있어야 합니다.
이러한 경고는 Mitre Framework의 8버전으로 매핑됩니다.
필터링
우리는 보안 이벤트와 관련된 알림만 수집합니다. syslog에는 Message: 또는 ThreatName: 필드가 포함되어 있어야 합니다.
다음을 참조하십시오: Cisco Secure Firewall Threat Defense: 보안 이벤트 시스로그 메시지
샘플 위협 매핑
우리는 경보 유형을 다음과 같이 정의합니다:
만약 message 필드가 존재한다면, 이를 정제하고 사용하십시오. 그렇지 않으면 ThreatName 필드를 사용하십시오.
{"alertType": "(ftp_server) FTP traffic encrypted", "threatId": "T1027", "threatName": "Obfuscated Files or Information"}
{"alertType": PSNG_UDP_FILTERED_DISTRIBUTED_PORTSCAN "T1046", "threatName": "Network Service Scanning"}
{"alertType": 기타 활동 "TA0043", "threatName": 정찰
공급업체 설명서
- 보안 방화벽 관리 센터 구성 안내서
- Firepower Management Center Configuration Guide, Version 6.2: 연결 로깅
- Cisco Secure 방화벽 위협 방어: 보안 이벤트 시스템 로그 메시지