주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.
MDR을 지원하는 방법에 대해 알아보십시오.

Palo Alto PAN-OS 통합

Sophos Central에 Palo Alto PAN-OS를 통합하면 Sophos로 경고를 전송하여 분석할 수 있습니다.

이 페이지에서는 통합에 대한 개요를 제공합니다.

Palo Alto PAN-OS 제품 개요

Palo Alto Networks의 Panorama PAN-OS는 전체 방화벽 배포에 걸쳐 사용자에게 전역 가시성, 정책 제어 및 워크플로 자동화를 제공하는 중앙 집중식 보안 관리 시스템입니다. 이는 네트워크 보안에 대한 전체적인 접근 방식으로 일관된 보호와 실시간 위협 인텔리전스를 보장합니다.

Sophos 문서

Palo Alto PAN-OS 통합

우리가 섭취하는 것

우리는 수집하고 Threat WildFire Submission 기록하고 로그의 하위 집합을 기록합니다. Traffic

Sophos에서 볼 수 있는 샘플 경고:

  • 스프링 부트 액추에이터 H2 원격 코드 실행 취약점(93279)
  • RealNetworks RealPlayer URL 구문 분석 스택 버퍼 오버플로우 취약점(37255)
  • Dahua Security DVR Appliances 인증 우회 취약점(38926)
  • Microsoft Windows NTLMSSP 검색(92322)
  • 인바운드 FTP 로그인(서명)에서 이전 데이터 침해로 인한 사용자 이름 및/또는 암호 손상

알림이 완전히 수집됨

로그 전달 구성에 대한 권장 사항은 Palo Alto PAN-OS 통합를 참조하십시오.

필터링

다음과 같이 로그를 필터링합니다.

마취제 필터

  • 우리는 유효한 허용합니다. CEF
  • 트래픽 로그를 삭제합니다.

플랫폼 필터

  • 우리는 다양한 검토 및 비보안 관련 메시지와 로그를 삭제합니다.
  • DNS 요청 로그를 삭제합니다.
  • 일부 VPN 로그가 삭제됩니다.
  • 우리는 로 분류 산불 로그를 드롭 benign.
  • 우리는 다양한 대량 및 낮은 가치의 특정 메시지를 삭제합니다.

위협 매핑 샘플

경고 유형을 결정하기 위해 경고 분류 및 포함된 필드에 따라 이러한 필드 중 하나를 사용합니다.

  • cef.deviceEventClassID
  • PanOSThreatCategory
"value": "=> !isEmpty(fields.cat) && !is(fields.cat, 'vulnerability') ? searchRegexList(fields.cat, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.cat, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.cat : !isEmpty(fields.cat) && is(fields.cat, 'vulnerability') ? searchRegexList(cef.deviceEventClassID, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) ?searchRegexList(cef.deviceEventClassID, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) : cef.deviceEventClassID : isEmpty(fields.cat) && !isEmpty(fields.PanOSThreatCategory) ? fields.PanOSThreatCategory : undefined",

샘플 매핑:

{"alertType": "Apache Log4j Remote Code Execution Vulnerability(N)", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "RealVNC VNC Server ClientCutText Message Memory Corruption Vulnerability(33672)", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "DOCX With Attached Templates In Multiple Attacks(86646)", "threatId": "T1221", "threatName": "Template Injection"}
{"alertType": "Generic Cross-Site Scripting Vulnerability(94093)", "threatId": "T1189", "threatName": "Drive-by Compromise"}
{"alertType": "Fastflux:DOMAIN(N)", "threatId": "T1036", "threatName": "Masquerading"}
{"alertType": "Virus.ramnit:lfjyaf.com(121569082)", "threatId": "TA0002", "threatName": "Execution"}
{"alertType": "OpenSSL SSL_check_chain NULL Pointer Dereference Vulnerability(58033)"  "threatId": "T1573", "threatName": "Encrypted Channel"}
{"alertType": "Microsoft Office File Embedded in PDF File Detection(86796)", "threatId": "T1204.002", "threatName": "Malicious File"}

공급업체 설명서

로그 포워딩 구성