Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=forcepoint-index

Integração do Forcepoint

Coletor de log Firewall

Você pode integrar o Forcepoint Next-Generation Firewall (NGFW) ao Sophos Central para o envio de alertas à Sophos para análise.

Esta página lhe dá uma visão geral da integração.

Visão geral do produto Forcepoint

O Forcepoint Next-Generation Firewall (NGFW) opera por meio do emprego de mecanismos sofisticados que fornecem visibilidade, controle e análise contextual do tráfego da rede, permitindo ajustes dinâmicos às defesas e políticas de segurança. Com avançado potencial tecnológico e uma abordagem centrada no usuário, o firewall facilita a prevenção e detecção robustas de ameaças, protegendo o patrimônio, os dados e a infraestrutura de rede da organização.

Documentação da Sophos

O que ingerimos

Exemplos de alertas que vemos:

  • China.Chopper.Web.Shell.Client.Connection
  • Easy.Hosting.Control.Panel.FTP.Account.Security.Bypass
  • HTTP.URI.SQL.Injection
  • Malicious.HTTP.URI.Requests
  • Joomla!.com_fields.SQL.Injection

Alertas ingeridos na íntegra

Recomendamos que você configure a saída padrão do syslog do Forcepoint, que inclui os seguintes tópicos:

  • Clock daemon for BSD systems
  • Clock daemon for System V systems
  • File transfer protocol
  • Kernel messages
  • Line printer subsystem
  • Mail system
  • Messages generated internally by syslogd
  • Network news subsystem
  • Network time protocol
  • Random user-level messages
  • Security/authorization messages
  • Security/authorization messages (private)
  • System daemons
  • UUCP subsystem

Para obter a saída padrão do syslog, consulte as Entradas do Syslog.

Filtragem

Filtramos alertas da seguinte forma.

Permitir

CEF válido

Drop

Descrição

Estas entradas são categorizadas como eventos não relacionados à segurança com base no feedback da nossa equipe de analistas do MDR. Elas incluem principalmente atividades de VPN de rotina, operações de rede padrão e mensagens de sistema automatizadas que são repetitivas e geralmente não críticas, de modo que o log não seja necessário.

Padrões de regex

  • msg=Connection dropped
  • msg=Delete notification received for .* SPI
  • \\|File-Filtering-Policy_Buffering-Limit-Exceeded\\|
  • \\|FW_New-SSL-VPN-Connection\\|
  • msg=IPsec SA Import succeeded
Exemplos
  • msg=IPsec SA initiator done. Rekeyed SPI: .* Encryption:.*, mac:.*
  • msg=IPsec SA responder done
  • msg=IKE SA deleted
  • msg=IKEv2 SA error: Timed out
  • msg=IKEv2 SA initiator failed, Local auth method: Reserved, Remote auth method: Reserved
  • msg=IPsec SA initiator error: Timed out
  • msg=Message type ack. XID: .* Relay ip .* Server ID: .* DNS: .* DNS: .* Domain: .*
  • msg=Message type offer. XID: .* Relay ip .* Server ID: .* DNS: .* DNS: .* Domain: .*
  • msg=Sending Dead Peer Detection notify \\(.*\\)
  • msg=Starting IKEv2 initiator negotiation
  • \\|TCP_Option-Unknown\\|
  • \\|URL_Category-Accounting\\|
  • msg=New engine upgrades available on Forcepoint web site: Engine upgrades NGFW upgrade .* build \\d+ for .*
  • \\|TCP_Segment-SYN-No-Options\\|
  • msg=Connection was reset by client
  • \\|FW_New-Route-Based-VPN-Connection\\|0\\|.* act=Discard
  • \\|TCP_Checksum-Mismatch\\|
  • msg=Notifications: N\\(HTTP_CERT_LOOKUP_SUPPORTED\\), N\\(MESSAGE_ID_SYNC_SUPPORTED\\), N\\(ESP_TFC_PADDING_NOT_SUPPORTED\\), N\\(NON_FIRST_FRAGMENTS_ALSO\\)
  • \\|FW_New-IPsec-VPN-Connection\\|
  • \\|FW_Related-Connection\\|
  • \\|Connection_Progress\\|
  • msg=Connection was reset by server
  • msg=Connection timeout in state TCP_SYN_SEEN
  • \\|Connection_Rematched\\|
  • \\|Connection_Allowed\\|
  • \\|Connection_Discarded\\|
  • \\|Connection_Closed\\|
  • \\|Log_Compress-SIDs\\|
  • act=Allow msg=Referred connection
  • \\|FW_New-Route-Based-VPN-Connection\\|0\\|.* act=Allow
  • \\|HTTP_URL-Logged\\|1\\|.* act=Permit
  • msg=Message type \\w+. XID: .*. Relay ip .*. Relayed to .*
  • \\|Generic\\|0\\|.*msg=Rekeyed IPsec SA installed. Inbound
  • msg=HISTORY: PID\\W+\\d+ UID\\W+\\d+ USER\\W+\\w+
  • msg=\\[I\\]\\[.*\\] Gid map: inside_gid:\\d+ outside_gid:\\d+ count:\\d+
  • msg=\\[I\\]\\[.*\\] Jail parameters
  • msg=\\[I\\]\\[.*\\] Uid map: inside_uid:\\d+ outside_uid:\\d+ count:\\d+
  • msg=\\[I\\]\\[.*\\] pid\\W+\\d+ \\(\\[STANDALONE MODE\\]\\) exited with status: \\d+, \\(PIDs left: \\d+\\)
  • msg=\\[I\\]\\[.*\\] Mount: .* flags:.* type:.* options:.* dir:.*
  • \\|DNS_Client-Type-Unknown\\|2\\|.* act=Permit
  • \\|File_Allowed\\|1\\|.* act=Permit
  • \\|HTTP_Request-with-redirect-capability\\|1\\|
  • \\|FW_Info-Request\\|0\\|
  • \\|Generic\\|0\\|.*msg=\\[\\d+\\.\\d+\\].*

Amostra de mapeamentos de ameaças

"alertType": "Mirai.Botnet", "threatId": "T1498", "threatName": "Network Denial of Service",
"alertType": "WIFICAM.P2P.GoAhead.Multiple.Remote.Code.Execution", "threatId": "T1203", "threatName": "Exploitation for Client Execution",
"alertType": "TCP.Split.Handshake", "threatId": "T1082", "threatName": "System Information Discovery",
"alertType": "WePresent.WiPG1000.Command.Injection", "threatId": "T1203", "threatName": "Exploitation for Client Execution",
"alertType": "Open.Flash.Chart.PHP.File.Upload", "threatId": "T1105", "threatName": "Ingress Tool Transfer",

Documentação do fornecedor