Cisco Firepower 통합 개요

Cisco Firepower는 실시간 상황 인식을 활용하여 지능형 위협 보호, 침입 방지 및 차세대 방화벽을 하나의 통합 플랫폼에 결합하는 방화벽 솔루션입니다.

Sophos 문서

Cisco Firepower 통합

수집되는 것

Sophos에서 볼 수 있는 샘플 경고:

• INDICATOR-COMPROMISE
• MALWARE-CNC Win.Trojan.Njrat variant outbound connection
• INDICATOR-SCAN SSH brute force login attempt
• PROTOCOL-SCADA Moxa discovery packet information disclosure attempt
• SERVER-WEBAPP Kibana Console for Elasticsearch local file inclusion attempt
• FILE-PDF TRUFFLEHUNTER TALOS-2017-0505 attack attempt
• SQL generic convert injection attempt - GET parameter
• Executable Code was Detected
• APP-DETECT Steam game URI handler
• SERVER-APACHE Apache Struts remote code execution attempt
• W32.975C0D48C4.RET.SBX.TG

완전히 수집되는 경고

Sophos 보안 경고를 수집합니다. 시스템 로그에는 반드시 Message: 또는 ThreatName:이 포함되어 있어야 합니다.

이러한 알림은 Mitre 프레임워크 버전 8에 매핑됩니다.

필터링

우리는 보안 이벤트와 관련된 알림만 수집합니다. syslog에는 Message: 또는 ThreatName: 필드가 포함되어 있어야 합니다.

시스코 보안 방화벽 위협 방어: 보안 이벤트 시스템 로그 메시지.

샘플 위협 매핑

경고 유형은 다음과 같이 정의합니다.

필드 메시지가 존재하면, 해당 메시지를 정제한 후 사용합니다. 그렇지 않으면 ThreatName 필드를 사용하십시오.

{"alertType": "(ftp_server) FTP traffic encrypted", "threatId": "T1027", "threatName": "Obfuscated Files or Information"}
{"alertType": "PSNG_UDP_FILTERED_DISTRIBUTED_PORTSCAN", "threatId": "T1046", "threatName": "Network Service Scanning"}
{"alertType": "Misc Activity", "threatId": "TA0043", "threatName": "Reconnaissance"}

공급업체 설명서

• 보안 방화벽 Management Center 구성 가이드
• Firepower Management Center 구성 가이드, 버전 6.2: 연결 로깅
• 시스코 보안 방화벽 위협 방어: 보안 이벤트 시스템 로그 메시지