Visão geral da integração do Cisco Firepower

Coletor de log Firewall

O Cisco Firepower é uma solução de firewall que utiliza a clareza contextual em tempo real para combinar proteção contra ameaças avançadas, prevenção contra intrusão e firewall de última geração em uma só plataforma integrada.

Documentação da Sophos

Integrar o Cisco Firepower

O que ingerimos

Exemplos de alertas vistos pela Sophos:

INDICATOR-COMPROMISE
MALWARE-CNC Win.Trojan.Njrat variant outbound connection
INDICATOR-SCAN SSH brute force login attempt
PROTOCOL-SCADA Moxa discovery packet information disclosure attempt
SERVER-WEBAPP Kibana Console for Elasticsearch local file inclusion attempt
FILE-PDF TRUFFLEHUNTER TALOS-2017-0505 attack attempt
SQL generic convert injection attempt - GET parameter
Executable Code was Detected
APP-DETECT Steam game URI handler
SERVER-APACHE Apache Struts remote code execution attempt
W32.975C0D48C4.RET.SBX.TG

Alertas ingeridos na íntegra

A Sophos faz a ingestão de alertas de segurança. Eles devem conter Message: ou ThreatName: no syslog.

Esses alertas são então mapeados para a versão 8 do Mitre Framework.

Filtragem

Apenas ingerimos alertas relacionados a eventos de segurança. Eles devem conter os campos Message: ou ThreatName: no syslog.

Consulte Cisco Secure Firewall Threat Defense: Security Event Syslog Messages.

Amostra de mapeamentos de ameaças

Definimos o tipo de alerta da seguinte forma:

Se o campo message existir, nós o limpamos e usamos. Caso contrário, usamos o campo ThreatName.

{"alertType": "(ftp_server) FTP traffic encrypted", "threatId": "T1027", "threatName": "Obfuscated Files or Information"}
{"alertType": "PSNG_UDP_FILTERED_DISTRIBUTED_PORTSCAN", "threatId": "T1046", "threatName": "Network Service Scanning"}
{"alertType": "Misc Activity", "threatId": "TA0043", "threatName": "Reconnaissance"}