Forcepoint 통합
Forcepoint NGFW를 Sophos Central과 통합하여 Sophos로 경고를 보낼 수 있습니다.
이 페이지에서는 통합에 대한 개요를 제공합니다.
Forcepoint 제품 개요
Forcepoint Next-Generation Firewall(NGFW)은 네트워크 트래픽에 대한 가시성, 제어 및 상황 분석을 제공하는 정교한 메커니즘을 사용하여 보안 정책 및 방어에 대한 동적 조정을 가능하게 합니다. 이 방화벽은 고급 기술과 사용자 중심 접근 방식을 활용해 강력한 위협 예방 및 감지를 용이하게 하여 조직의 자산, 데이터 및 네트워크 인프라를 보호합니다.
Sophos 문서
우리가 섭취하는 것
샘플 알림:
- China.Chopper.Web.Shell.Client.Connection
- Easy.Hosting.Control.Panel.FTP.Account.Security.Bypass
- HTTP.URI.SQL.Injection
- Malicious.HTTP.URI.Requests
- Joomla!.com_fields.SQL.Injection
알림이 완전히 수집됨
Forcepoint에서 다음 항목을 포함하는 표준 syslog 출력을 구성하는 것이 좋습니다.
- BSD 시스템용 클럭 데몬
- System V 시스템의 클럭 데몬
- 파일 전송 프로토콜
- 커널 메시지
- 라인 프린터 하위 시스템
- 메일 시스템
- syslogd에서 내부적으로 생성된 메시지
- 네트워크 뉴스 하위 시스템
- 네트워크 시간 프로토콜
- 임의 사용자 수준 메시지
- 보안/인증 메시지
- 보안/인증 메시지(개인)
- 시스템 데몬
- UUCP 하위 시스템
표준 syslog 출력은 Syslog 항목을 참조하십시오.
필터링
알림을 다음과 같이 필터링합니다.
허용
유효함: CEF
차단
설명
이러한 항목은 MDR 분석가 팀의 피드백을 기반으로 비보안 관련 이벤트로 분류됩니다. 여기에는 주로 일상적인 VPN 활동, 표준 네트워크 작업, 반복적이고 일반적으로 중요하지 않은 자동화된 시스템 메시지가 포함되므로 로깅이 필요하지 않습니다.
정규식 패턴
msg=Connection droppedmsg=Delete notification received for .* SPI\\|File-Filtering-Policy_Buffering-Limit-Exceeded\\|\\|FW_New-SSL-VPN-Connection\\|msg=IPsec SA Import succeeded
예
msg=IPsec SA initiator done. Rekeyed SPI: .* Encryption:.*, mac:.*msg=IPsec SA responder donemsg=IKE SA deletedmsg=IKEv2 SA error: Timed outmsg=IKEv2 SA initiator failed, Local auth method: Reserved, Remote auth method: Reservedmsg=IPsec SA initiator error: Timed outmsg=Message type ack. XID: .* Relay ip .* Server ID: .* DNS: .* DNS: .* Domain: .*msg=Message type offer. XID: .* Relay ip .* Server ID: .* DNS: .* DNS: .* Domain: .*msg=Sending Dead Peer Detection notify \\(.*\\)msg=Starting IKEv2 initiator negotiation\\|TCP_Option-Unknown\\|\\|URL_Category-Accounting\\|msg=New engine upgrades available on Forcepoint web site: Engine upgrades NGFW upgrade .* build \\d+ for .*\\|TCP_Segment-SYN-No-Options\\|msg=Connection was reset by client\\|FW_New-Route-Based-VPN-Connection\\|0\\|.* act=Discard\\|TCP_Checksum-Mismatch\\|msg=Notifications: N\\(HTTP_CERT_LOOKUP_SUPPORTED\\), N\\(MESSAGE_ID_SYNC_SUPPORTED\\), N\\(ESP_TFC_PADDING_NOT_SUPPORTED\\), N\\(NON_FIRST_FRAGMENTS_ALSO\\)\\|FW_New-IPsec-VPN-Connection\\|\\|FW_Related-Connection\\|\\|Connection_Progress\\|msg=Connection was reset by servermsg=Connection timeout in state TCP_SYN_SEEN\\|Connection_Rematched\\|\\|Connection_Allowed\\|\\|Connection_Discarded\\|\\|Connection_Closed\\|\\|Log_Compress-SIDs\\|act=Allow msg=Referred connection\\|FW_New-Route-Based-VPN-Connection\\|0\\|.* act=Allow\\|HTTP_URL-Logged\\|1\\|.* act=Permitmsg=Message type \\w+. XID: .*. Relay ip .*. Relayed to .*\\|Generic\\|0\\|.*msg=Rekeyed IPsec SA installed. Inboundmsg=HISTORY: PID\\W+\\d+ UID\\W+\\d+ USER\\W+\\w+msg=\\[I\\]\\[.*\\] Gid map: inside_gid:\\d+ outside_gid:\\d+ count:\\d+msg=\\[I\\]\\[.*\\] Jail parametersmsg=\\[I\\]\\[.*\\] Uid map: inside_uid:\\d+ outside_uid:\\d+ count:\\d+msg=\\[I\\]\\[.*\\] pid\\W+\\d+ \\(\\[STANDALONE MODE\\]\\) exited with status: \\d+, \\(PIDs left: \\d+\\)msg=\\[I\\]\\[.*\\] Mount: .* flags:.* type:.* options:.* dir:.*\\|DNS_Client-Type-Unknown\\|2\\|.* act=Permit\\|File_Allowed\\|1\\|.* act=Permit\\|HTTP_Request-with-redirect-capability\\|1\\|\\|FW_Info-Request\\|0\\|\\|Generic\\|0\\|.*msg=\\[\\d+\\.\\d+\\].*
위협 매핑 샘플
"alertType": "Mirai.Botnet", "threatId": "T1498", "threatName": "Network Denial of Service",
"alertType": "WIFICAM.P2P.GoAhead.Multiple.Remote.Code.Execution", "threatId": "T1203", "threatName": "Exploitation for Client Execution",
"alertType": "TCP.Split.Handshake", "threatId": "T1082", "threatName": "System Information Discovery",
"alertType": "WePresent.WiPG1000.Command.Injection", "threatId": "T1203", "threatName": "Exploitation for Client Execution",
"alertType": "Open.Flash.Chart.PHP.File.Upload", "threatId": "T1105", "threatName": "Ingress Tool Transfer",