Cisco Firepower 整合概覽

Cisco Firepower 是一種防火牆解決方案，利用即時情境感知將進階威脅防護、入侵防禦和新一代防火牆整合到一個整合平台中。

Sophos 說明文件

整合 Cisco Firepower

我們擷取的內容

Sophos 可擷取的範例警示包括：

• INDICATOR-COMPROMISE
• MALWARE-CNC Win.Trojan.Njrat variant outbound connection
• INDICATOR-SCAN SSH brute force login attempt
• PROTOCOL-SCADA Moxa discovery packet information disclosure attempt
• SERVER-WEBAPP Kibana Console for Elasticsearch local file inclusion attempt
• FILE-PDF TRUFFLEHUNTER TALOS-2017-0505 attack attempt
• SQL generic convert injection attempt - GET parameter
• Executable Code was Detected
• APP-DETECT Steam game URI handler
• SERVER-APACHE Apache Struts remote code execution attempt
• W32.975C0D48C4.RET.SBX.TG

完整擷取警示

Sophos接收安全警報。系統日誌中必須包含 「訊息：」 或 「威脅名稱：」。

然後將這些警報映射到 Mitre 框架的第 8 版。

資料篩選

我們只接收與安全事件相關的警報。系統日誌中必須包含 「Message:」 或 「ThreatName:」 欄位。

看 Cisco 安全防火牆威脅防禦：安全事件系統日誌文件。

威脅對應範例

我們將警示類型定義如下：

如果欄位 訊息 存在，則對其進行清理並使用它。否則，請使用欄位 ThreatName。

{"alertType": "(ftp_server) FTP traffic encrypted", "threatId":"T1027", "threatName":"Obfuscated Files or Information"}
{"alertType":"PSNG_UDP_FILTERED_DISTRIBUTED_PORTSCAN", "threatId":"T1046", "threatName":"Network Service Scanning"}
{"alertType":"Misc Activity", "threatId":"TA0043", "threatName":"Reconnaissance"}

原廠文件

• 安全防火牆管理 中心設定指南
• Firepower管理 中心設定指南，版本 6.2：連線日誌
• Cisco 安全防火牆威脅防禦：安全事件系統日誌文件