巴拉庫達 CloudGen 整合

您可以將 Barracuda CloudGen 與 Sophos Central 整合，以便其將警示傳送到 Sophos 進行分析。

本頁面提供此整合功能的概覽。

巴拉庫達 CloudGen 概覽

Barracuda CloudGen Firewall 為雲端和混合網路提供全面的安全解決方案。該防火牆改善了網站到網站的連線，並可實現不間斷存取雲端中託管的應用程式。Barracuda 憑藉包括進階威脅防護和全域情報網路在內的多層防禦，可確保即時防禦各種網路威脅，例如勒索軟體和零時差攻擊。它可跨實體和雲端環境部署，提供整合的 SD-WAN 功能以實現無縫連線，並提供集中管理工具以簡化部署、提供全面的網路可見性。

Sophos 說明文件

整合 Barracuda CloudGen

我們擷取的內容

Sophos 可擷取的範例警示包括：

從 IP_ADDRESS 登入：拒絕：防火牆規則 RULE
部署了網路相關設定檔案
從檔案載入設定
即插即用 ACPI 裝置，ID（活動）
啟動 VPN 客戶端
FW UDP 連接限制已超過
轉寄規則警告
FW 洪水式連線偵測防護已啟動

完整擷取警示

我們建議您設定 Barracuda CloudGen 防火牆的詳細防火牆報告 syslog 輸出，但此輸出會經過嚴格過濾，僅處理有用的安全警示。

大多數警示皆採用正規表達式進行標準化處理。

資料篩選

我們目前會過濾最雜訊的警示。過濾器包含以下項目：

UDP-NEW（正常運作，0）
會話閒置超時
\[請求\] 允許
\[請求\] 移除
\[同步\] 已變更：傳輸協定
會話 PHS：來自用戶的驗證請求
隧道現有一條運作中的運輸通道
會話 -------- 通道
中止 TCP 傳輸
資訊 CHHUNFWHQ-01 會議
：會計登入
狀態： REM\\(無法到達的超時,20\\)
讀取失敗\(IOStreamSock:接收（）檔案結尾（）關閉連線
在請求中發現 DH 屬性，生成新金鑰
\[同步\] 已變更：檢查運輸
狀態： UDP-FAIL（連接埠不可達，3）
DH金鑰協議成功
請求超時 \(握手請求 ReqState=初始化 RepState=初始化\) -> 終止連線
\[同步\] 本地：更新運輸
發送快速回覆
\[同步\] 會話指令
\[HASYNC\] 更新
運輸 .* 狀態變更為
會計登出
TCP.*close 指令
規則：驗證登入
規則：驗證登出
錯誤。*請求超時
資訊。*刪除運輸
Info.*\[HASYNC\]
通知。*\[HASYNC\]
警告。*通道心跳檢測失敗
資訊。*工作程序。*超時
錯誤。*操作：投票。\*超時
資訊.*（新請求）
資訊。*（正常運作）

威脅對應範例

當威脅映射存在時，我們使用 fields.message 欄位；否則則從標準事件類型的 info 欄位中檢索代碼。參見事件。

"alertType": "=> searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.message"

樣本：

{"alertType":"Number of child processes automatically set to N based on number of CPU cores and size of RAM", "threatId":"T1057", "threatName":"Process Discovery"}
{"警報類型": "未在 IP_ADDRESS 的客戶端中發現明確的 phase1 攻擊性配置", "威脅識別碼":"T1573", "threatName":"Encrypted Channel"}