Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Integração do Barracuda CloudGen

Você pode integrar o Barracuda CloudGen ao Sophos Central para o envio de alertas à Sophos para análise.

Esta página lhe dá uma visão geral da integração.

Visão geral do Barracuda CloudGen

O Barracuda CloudGen Firewall oferece soluções de segurança abrangentes para nuvem e redes híbridas. O firewall melhora a conectividade site a site e permite o acesso ininterrupto a aplicativos hospedados na nuvem. Com defesas multicamada, incluindo proteção contra ameaças avançadas e redes de inteligência global, o Barracuda garante a proteção em tempo real de diversas ameaças cibernéticas, como ransomware e ataques de dia zero. Implementável em ambientes físicos e na nuvem, oferece funcionalidades SD-WAN integradas para conectividade ininterrupta e ferramentas de gerenciamento centralizado para proporcionar uma implantação simplificada e visibilidade de rede abrangente.

Documentação da Sophos

Integrar o Barracuda CloudGen

O que ingerimos

Exemplos de alertas vistos pela Sophos:

  • Login from IP_ADDRESS: Denied: Firewall Rule RULE
  • rolled out network relevant configuration files
  • Load Config from FILE
  • Plug and Play ACPI device, ID (active)
  • starting vpn client
  • FW UDP Connection Limit Exceeded
  • FW Rule Warning
  • FW Flood Ping Protection Activated

Alertas ingeridos na íntegra

Recomendamos que você configure a saída de syslog Detailed Firewall Reporting do Barracuda CloudGen, mas sujeita a uma filtragem significativa, para que processe apenas alertas de segurança úteis.

A maioria dos alertas é padronizada com regex.

Filtragem

Atualmente, filtramos os alertas mais ruidosos. Os filtros incluem:

  • UDP-NEW\\(Normal Operation,0\\)
  • Session Idle Timeout
  • \\[Request\\] Allow
  • \\[Request\\] Remove
  • \\[Sync\\] Changed: Transport
  • Session PHS: Authentication request from user
  • Tunnel has now one working transport
  • Session -------- Tunnel
  • Abort TCP transport
  • Info CHHUNFWHQ-01 Session
  • : Accounting LOGIN
  • State: REM\\(Unreachable Timeout,20\\)
  • read failed\\(IOStreamSock: Receive\\(\\) end of file\\) closing connection
  • DH attributes found in request, generating new key
  • \\[Sync\\] Changed: Checking Transports
  • State: UDP-FAIL\\(Port Unreachable,3\\)
  • DH key agreement successful
  • Request Timeout \\(HandshakeRequest ReqState=Init RepState=Init\\) -> terminate session
  • \\[Sync\\] Local: Update Transport
  • send fast reply
  • \\[Sync\\] Session Command
  • \\[HASYNC\\] update
  • Transport .* State changed to
  • Accounting LOGOUT
  • TCP.*close on command
  • Rule: Authentication Login
  • Rule: Authentication Logout
  • Error.*Request Timeout
  • Info.*Delete Transport
  • Info.*\\[HASYNC\\]
  • Notice.*\\[HASYNC\\]
  • Warning.*Tunnel Heartbeat failed
  • Info.*Worker Process.*timeout
  • Error.*Operation: Poll.*Timeout
  • Info.*\\(New Request
  • Info.*\\(Normal Operation

Amostra de mapeamentos de ameaças

Usamos fields.message para mapeamentos de ameaças em que está presente, ou procuramos um código no campo de informações dos tipos de eventos padrão. Consulte Security Events.

"alertType": "=> searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.message"

Amostras:

{"alertType": "Number of child processes automatically set to N based on number of CPU cores and size of RAM", "threatId": "T1057", "threatName": "Process Discovery"}
{"alertType": "found no explicit phase1 aggressive configuration in IP_ADDRESS for client", "threatId": "T1573", "threatName": "Encrypted Channel"}

Documentação do fornecedor