Palo Alto PAN-OS 통합
Sophos Central에 Palo Alto PAN-OS를 통합하면 Sophos로 경고를 전송하여 분석할 수 있습니다.
이 페이지에서는 통합에 대한 개요를 제공합니다.
Palo Alto PAN-OS 제품 개요
Palo Alto Networks의 Panorama PAN-OS는 전체 방화벽 배포에 걸쳐 사용자에게 전역 가시성, 정책 제어 및 워크플로 자동화를 제공하는 중앙 집중식 보안 관리 시스템입니다. 이는 네트워크 보안에 대한 전체적인 접근 방식으로 일관된 보호와 실시간 위협 인텔리전스를 보장합니다.
Sophos 문서
우리가 섭취하는 것
우리는 수집하고 Threat
WildFire Submission
기록하고 로그의 하위 집합을 기록합니다. Traffic
Sophos에서 볼 수 있는 샘플 경고:
- 스프링 부트 액추에이터 H2 원격 코드 실행 취약점(93279)
- RealNetworks RealPlayer URL 구문 분석 스택 버퍼 오버플로우 취약점(37255)
- Dahua Security DVR Appliances 인증 우회 취약점(38926)
- Microsoft Windows NTLMSSP 검색(92322)
- 인바운드 FTP 로그인(서명)에서 이전 데이터 침해로 인한 사용자 이름 및/또는 암호 손상
알림이 완전히 수집됨
로그 전달 구성에 대한 권장 사항은 Palo Alto PAN-OS 통합를 참조하십시오.
필터링
다음과 같이 로그를 필터링합니다.
마취제 필터
- 우리는 유효한 허용합니다.
CEF
- 트래픽 로그를 삭제합니다.
플랫폼 필터
- 우리는 다양한 검토 및 비보안 관련 메시지와 로그를 삭제합니다.
- DNS 요청 로그를 삭제합니다.
- 일부 VPN 로그가 삭제됩니다.
- 우리는 로 분류 산불 로그를 드롭
benign
. - 우리는 다양한 대량 및 낮은 가치의 특정 메시지를 삭제합니다.
위협 매핑 샘플
경고 유형을 결정하기 위해 경고 분류 및 포함된 필드에 따라 이러한 필드 중 하나를 사용합니다.
cef.deviceEventClassID
PanOSThreatCategory
"value": "=> !isEmpty(fields.cat) && !is(fields.cat, 'vulnerability') ? searchRegexList(fields.cat, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.cat, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.cat : !isEmpty(fields.cat) && is(fields.cat, 'vulnerability') ? searchRegexList(cef.deviceEventClassID, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) ?searchRegexList(cef.deviceEventClassID, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) : cef.deviceEventClassID : isEmpty(fields.cat) && !isEmpty(fields.PanOSThreatCategory) ? fields.PanOSThreatCategory : undefined",
샘플 매핑:
{"alertType": "Apache Log4j Remote Code Execution Vulnerability(N)", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "RealVNC VNC Server ClientCutText Message Memory Corruption Vulnerability(33672)", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "DOCX With Attached Templates In Multiple Attacks(86646)", "threatId": "T1221", "threatName": "Template Injection"}
{"alertType": "Generic Cross-Site Scripting Vulnerability(94093)", "threatId": "T1189", "threatName": "Drive-by Compromise"}
{"alertType": "Fastflux:DOMAIN(N)", "threatId": "T1036", "threatName": "Masquerading"}
{"alertType": "Virus.ramnit:lfjyaf.com(121569082)", "threatId": "TA0002", "threatName": "Execution"}
{"alertType": "OpenSSL SSL_check_chain NULL Pointer Dereference Vulnerability(58033)" "threatId": "T1573", "threatName": "Encrypted Channel"}
{"alertType": "Microsoft Office File Embedded in PDF File Detection(86796)", "threatId": "T1204.002", "threatName": "Malicious File"}