跳至內容
部分或全部頁面已經過機器翻譯。
了解我們如何支援MDR。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=checkpoint-overview

Check Point Quantum Firewall 整合

您可以將 Check Point Quantum Firewall 與 Sophos Central 整合,以便將稽核資料傳送到 Sophos 進行分析。

本頁面提供此整合功能的概覽。

Check Point Quantum Firewall 產品簡介

Check Point 的 ITP Firewall 是整合安全解決方案,旨在為整個 IT 基礎架構提供全面的威脅防護。其利用即時威脅情報和進階預防技術,確保網路針對已知和新出現的威脅保持安全。

Sophos 說明文件

整合 Check Point Quantum Firewall

我們擷取的內容

Sophos 可擷取的範例警示包括:

  • Streaming Engine:TCP anomaly detected
  • Malformed Packet
  • SSL Enforcement Violation
  • Backdoor.WIN32.Zegost.A
  • Trojan.Win32.HackerDefender.A
  • Malware.TC.268bRWCT
  • Phishing.RS.TC.29f5jdTi
  • SYN Attack
  • Virus.WIN32.Sality.DY
  • Microsoft Exchange Server Remote Code Execution
  • Network Denial of Service Based Attack Detected on Connection
  • Nostromo Web Server Directory Traversal (CVE-2019-16278)

資料篩選

We filter messages as follows:

  • 我們僅允許使用有效的通用事件格式(CEF)的警示。

威脅對應範例

我們根據警示分類及其包含的欄位,運用其中一個欄位來確定警示類型。

  • cef.deviceEventClassID
  • cef.name
  • msg
  • 產品 
    "value": "=> is(fields.product, 'SmartDefense') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Attack Information') && !is(fields.flexString2, 'Other') ? searchRegexList(fields.flexString2, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.flexString2, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.flexString2 : is(fields.product, 'Application Control') ? cef.deviceEventClassID : is(fields.product, 'New Anti Virus') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Malware Action') && !is(fields.flexString2, 'Other') ? fields.flexString2 : is(fields.product, 'Anti Malware') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Malware Action') && !is(fields.flexString2, 'Other') ? fields.flexString2 : is(fields.product, 'New Anti Virus') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Malware Action') && is(fields.flexString2, 'Other') ? cef.name : is(fields.product, 'Anti Malware') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Malware Action') && is(fields.flexString2, 'Other') ? cef.name : !isEmpty(fields.msg) ? searchRegexList(fields.msg, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.msg, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.msg : !isEmpty(fields.product) ? fields.product : undefined"

範例對應項目如下:

{"alertType":"Extracted files name:NAME Extracted files type:TYPE Extracted files sha1:SHA Extracted files verdict:VERDICT", "threatId":"T1598.002", "threatName":"Spearphishing Attachment"}
{"alertType":"Gallery search engine cross-site scripting", "threatId":"T1189", "threatName":"Drive-by Compromise"}
{"alertType":"Address spoofing", "threatId":"T1036", "threatName":"Masquerading"}

原廠文件

記錄與監控R80.30 管理指南