Integração do Barracuda CloudGen
Você pode integrar o Barracuda CloudGen ao Sophos Central para o envio de alertas à Sophos para análise.
Esta página lhe dá uma visão geral da integração.
Visão geral do Barracuda CloudGen
O Barracuda CloudGen Firewall oferece soluções de segurança abrangentes para nuvem e redes híbridas. O firewall melhora a conectividade site a site e permite o acesso ininterrupto a aplicativos hospedados na nuvem. Com defesas multicamada, incluindo proteção contra ameaças avançadas e redes de inteligência global, o Barracuda garante a proteção em tempo real de diversas ameaças cibernéticas, como ransomware e ataques de dia zero. Implementável em ambientes físicos e na nuvem, oferece funcionalidades SD-WAN integradas para conectividade ininterrupta e ferramentas de gerenciamento centralizado para proporcionar uma implantação simplificada e visibilidade de rede abrangente.
Documentação da Sophos
O que ingerimos
Exemplos de alertas vistos pela Sophos:
Login from IP_ADDRESS: Denied: Firewall Rule RULE
rolled out network relevant configuration files
Load Config from FILE
Plug and Play ACPI device, ID (active)
starting vpn client
FW UDP Connection Limit Exceeded
FW Rule Warning
FW Flood Ping Protection Activated
Alertas ingeridos na íntegra
Recomendamos que você configure a saída de syslog Detailed Firewall Reporting do Barracuda CloudGen, mas sujeita a uma filtragem significativa, para que processe apenas alertas de segurança úteis.
A maioria dos alertas é padronizada com regex.
Filtragem
Atualmente, filtramos os alertas mais ruidosos. Os filtros incluem:
UDP-NEW\\(Normal Operation,0\\)
Session Idle Timeout
\\[Request\\] Allow
\\[Request\\] Remove
\\[Sync\\] Changed: Transport
Session PHS: Authentication request from user
Tunnel has now one working transport
Session -------- Tunnel
Abort TCP transport
Info CHHUNFWHQ-01 Session
: Accounting LOGIN
State: REM\\(Unreachable Timeout,20\\)
read failed\\(IOStreamSock: Receive\\(\\) end of file\\) closing connection
DH attributes found in request, generating new key
\\[Sync\\] Changed: Checking Transports
State: UDP-FAIL\\(Port Unreachable,3\\)
DH key agreement successful
Request Timeout \\(HandshakeRequest ReqState=Init RepState=Init\\) -> terminate session
\\[Sync\\] Local: Update Transport
send fast reply
\\[Sync\\] Session Command
\\[HASYNC\\] update
Transport .* State changed to
Accounting LOGOUT
TCP.*close on command
Rule: Authentication Login
Rule: Authentication Logout
Error.*Request Timeout
Info.*Delete Transport
Info.*\\[HASYNC\\]
Notice.*\\[HASYNC\\]
Warning.*Tunnel Heartbeat failed
Info.*Worker Process.*timeout
Error.*Operation: Poll.*Timeout
Info.*\\(New Request
Info.*\\(Normal Operation
Amostra de mapeamentos de ameaças
Usamos fields.message para mapeamentos de ameaças em que está presente, ou procuramos um código no campo de informações dos tipos de eventos padrão. Consulte Security Events.
"alertType": "=> searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.message"
Amostras:
{"alertType": "Number of child processes automatically set to N based on number of CPU cores and size of RAM", "threatId": "T1057", "threatName": "Process Discovery"}
{"alertType": "found no explicit phase1 aggressive configuration in IP_ADDRESS for client", "threatId": "T1573", "threatName": "Encrypted Channel"}