Integração do WatchGuard Firebox
Você pode integrar o WatchGuard Firebox ao Sophos Central para que envie dados à Sophos.
Esta página lhe dá uma visão geral da integração.
Visão geral do produto WatchGuard Firebox
O WatchGuard oferece uma série de firewalls fáceis de implantar e gerenciar adaptados a empresas de diferentes portes. Suas soluções focam na detecção e resposta a ameaças avançadas, capacitadas pela visibilidade facilitada das atividades de rede e respaldadas pela inteligência de ameaças.
Documentação da Sophos
O que ingerimos
Exemplos de alertas vistos pela Sophos:
blocked sites (reason IP scan attack)ProxyDeny: DNS invalid number of questionsAuthentication of ACCOUNT_TYPE user [USERNAME] from IP_ADDRESS was rejected, received an Access-Reject response from the (IP_ADDRESS) serverblocked sites (TOR blocking source)SSL VPN user NAME from IP_ADDRESS logged in assigned virtual IP is IP_ADDRESSRogue Access Point detected at MAC, broadcasting SSID NAMEAuthentication error. no matching session found for USERNAME.Device already has the latest TYPE signature version VERSIONProxyDrop: HTTP Virus foundProxyStrip: HTTP header malformedCannot start the signature update for 'TOR'Certificate (CERTIFICATE) is not valid.ProxyDeny: SMTP To addressWireless country specification from LiveSecurity Service was not received: error can't get country spec response from LiveSecurity Service, (retry_countN)Manual MICROSOFT365 update started'LIVESECURITY' feature expired (DATE) prior to package release date (DATE)sendalarm: failed to send alarm messageblocked sites (ThreatSync destination)WEB Microsoft IIS HTTP.sys Remote Code Execution Vulnerability (CVE-2015-1635)WEB Apache HTTPD mod_proxy_ajp Denial Of Service (CVE-2011-3348)Shutdown requested by systemVIRUS Eicar test string NDDOS from client IP_ADDRESS detected.WEB PHPUnit CVE-2017-9841 Arbitrary Code Execution VulnerabilitySSH Brute Force Login N
Filtragem
Filtramos mensagens da seguinte forma:
Filtro do agente
- PERMITIMOS todos os logs.
- DESCARTAMOS várias mensagens especificadas de alto volume e baixo valor.
Filtro da plataforma
- PERMITIMOS LEEF válido.
- DESCARTAMOS várias mensagens e logs revisados e não relacionados à segurança.
- DESCARTAMOS várias mensagens especificadas de alto volume e baixo valor.
Amostra de mapeamentos de ameaças
Usamos um destes campos para determinar o tipo de alerta, dependendo da classificação do alerta e dos campos que ele inclui.
fields.msgfields.IPS_ruleleef.eventID
"value": "=> !isEmpty(fields.msg) ? is(fields.msg, 'IPS detected') ? searchRegexList(fields.IPS_rule, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.IPS_rule, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.IPS_rule : searchRegexList(fields.msg, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.msg, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.msg : getNestedValue(_.referenceValues.code_translation, 'alert_translation', leef.eventId) ? getNestedValue(_.referenceValues.code_translation, 'alert_translation', leef.eventId) : getNestedValue(_.globalReferenceValues.code_translation, 'alert_translation', leef.eventId) ? getNestedValue(_.globalReferenceValues.code_translation, 'alert_translation', leef.eventId) : leef.eventId"
Exemplos de mapeamentos:
{"alertType": "ProxyAllow: HTTP Range header", "threatId": "T1498", "threatName": "Network Denial of Service"}
{"alertType": "Scheduled GAV update started", "threatId": "TA0005", "threatName": "Defense Evasion"}
{"alertType": "IPS detected", "threatId": "T1562.001", "threatName": "Disable or Modify Tools"}