주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.
MDR을 지원하는 방법에 대해 알아보십시오.

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=watchguard-overview

WatchGuard Firebox 통합

로그 수집기 방화벽

WatchGuard Firebox를 Sophos Central과 통합하여 Sophos로 데이터를 전송할 수 있습니다.

이 페이지에서는 통합에 대한 개요를 제공합니다.

WatchGuard Firebox 제품 개요

WatchGuard는 모든 규모의 기업에 맞춤화된 배포 및 관리가 쉬운 다양한 방화벽을 제공합니다. 해당 솔루션은 네트워크 활동에 대한 신속한 가시성과 위협 인텔리전스를 기반으로 하는 지능형 위협 탐지 및 대응에 중점을 두고 있습니다.

Sophos 문서

WatchGuard Firebox 통합

수집되는 것

Sophos에서 볼 수 있는 샘플 경고:

  • blocked sites (reason IP scan attack)
  • ProxyDeny: DNS invalid number of questions
  • Authentication of ACCOUNT_TYPE user [USERNAME] from IP_ADDRESS was rejected, received an Access-Reject response from the (IP_ADDRESS) server
  • blocked sites (TOR blocking source)
  • SSL VPN user NAME from IP_ADDRESS logged in assigned virtual IP is IP_ADDRESS
  • Rogue Access Point detected at MAC, broadcasting SSID NAME
  • Authentication error. no matching session found for USERNAME.
  • Device already has the latest TYPE signature version VERSION
  • ProxyDrop: HTTP Virus found
  • ProxyStrip: HTTP header malformed
  • Cannot start the signature update for 'TOR'
  • Certificate (CERTIFICATE) is not valid.
  • ProxyDeny: SMTP To address
  • Wireless country specification from LiveSecurity Service was not received: error can't get country spec response from LiveSecurity Service, (retry_countN)
  • Manual MICROSOFT365 update started
  • 'LIVESECURITY' feature expired (DATE) prior to package release date (DATE)
  • sendalarm: failed to send alarm message
  • blocked sites (ThreatSync destination)
  • WEB Microsoft IIS HTTP.sys Remote Code Execution Vulnerability (CVE-2015-1635)
  • WEB Apache HTTPD mod_proxy_ajp Denial Of Service (CVE-2011-3348)
  • Shutdown requested by system
  • VIRUS Eicar test string N
  • DDOS from client IP_ADDRESS detected.
  • WEB PHPUnit CVE-2017-9841 Arbitrary Code Execution Vulnerability
  • SSH Brute Force Login N

필터링

경고는 다음과 같이 필터링됩니다.

에이전트 필터

  • 모든 로그를 허용합니다.
  • 우리는 다양한 고용량 및 저가치 지정 메시지를 삭제합니다.

플랫폼 필터

  • 우리는 유효한 LEEF를 허용합니다.
  • 다양한 검토된 보안 관련이 아닌 메시지와 로그를 삭제합니다.
  • 다양한 대량 및 저가치 지정 메시지를 삭제합니다.

샘플 위협 매핑

우리는 경보 분류와 해당 필드를 고려하여 경보 유형을 결정하는 데 이 필드 중 하나를 사용합니다.

  • fields.msg
  • fields.IPS_rule
  • leef.eventID
"value": "=> !isEmpty(fields.msg) ? is(fields.msg, 'IPS detected') ? searchRegexList(fields.IPS_rule, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ?  searchRegexList(fields.IPS_rule, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) :  fields.IPS_rule : searchRegexList(fields.msg, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.msg, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.msg : getNestedValue(_.referenceValues.code_translation, 'alert_translation', leef.eventId) ? getNestedValue(_.referenceValues.code_translation, 'alert_translation', leef.eventId) :  getNestedValue(_.globalReferenceValues.code_translation, 'alert_translation', leef.eventId) ? getNestedValue(_.globalReferenceValues.code_translation, 'alert_translation', leef.eventId) : leef.eventId"

샘플 매핑:

{"alertType": "ProxyAllow: HTTP Range header", "threatId": "T1498", "threatName": "Network Denial of Service"}
{"alertType": "Scheduled GAV update started", "threatId": "TA0005", "threatName": "Defense Evasion"}
{"alertType": "IPS detected", "threatId": "T1562.001", "threatName": "Disable or Modify Tools"}

공급업체 설명서