Forcepoint 整合

您可以將 Forcepoint 新世代防火牆 (NGFW) 與 Sophos Central 整合，使其將警示傳送至 Sophos 進行分析。

本頁面提供此整合功能的概覽。

Forcepoint 產品概覽

Forcepoint Next-Generation Firewall (NGFW) 透過採用複雜的機制來發揮作用，這種機制提供網路流量的可見性、控制和背景分析，從而實現安全原則和防禦的動態調整。透過利用先進技術和以使用者為中心的方法，防火牆可以促進強大的威脅預防和偵測，保護組織的資產、資料和網路基礎架構。

Sophos 說明文件

我們擷取的內容

範例警示包括：

China.Chopper.Web.Shell.Client.Connection
Easy.Hosting.Control.Panel.FTP.Account.Security.Bypass
HTTP.URI.SQL.Injection
Malicious.HTTP.URI.Requests
Joomla!.com_fields.SQL.Injection

完整擷取警示

我們建議您設定 Forcepoint 的標準 syslog 輸出，其中包含以下主題：

BSD系統時鐘守護程序
System V 系統的時鐘守護程序
檔案傳輸協定
核心訊息
行式印表機子系統
郵件系統
由 syslogd 內部產生的訊息
網路新聞子系統
網際網路時間協定
隨機使用者層級訊息
安全/授權訊息
安全/授權訊息（私人）
系統守護程序
UUCP 子系統

有關標準 syslog 輸出，請參閱記錄。

資料篩選

我們對警示進行如下篩選。

許可

有效的CEF

丟棄

說明

根據我們的MDR分析師團隊的反饋，這些事件被歸類為非安全相關事件。這些主要包含例行性的VPN活動、標準網路操作，以及自動化系統訊息——此類訊息具有重複性且通常不具關鍵性，因此無需記錄。

正則表達式模式

連線捨棄
msg=收到針對 .* SPI 的刪除通知
\|File-Filtering-Policy_Buffering-Limit-Exceeded\|
\|FW_New-SSL-VPN-Connection\|
msg=IPsec 安全關聯匯入成功

範例

msg=IPsec SA initiator done. Rekeyed SPI: .* Encryption:.*, mac:.*
msg=IPsec SA responder done
msg=IKE SA deleted
msg=IKEv2 SA error: Timed out
msg=IKEv2 SA initiator failed, Local auth method: Reserved, Remote auth method: Reserved
msg=IPsec SA initiator error: Timed out
msg=Message type ack. XID: .* Relay ip .* Server ID: .* DNS: .* DNS: .* Domain: .*
msg=Message type offer. XID: .* Relay ip .* Server ID: .* DNS: .* DNS: .* Domain: .*
msg=Sending Dead Peer Detection notify \\(.*\\)
msg=Starting IKEv2 initiator negotiation
\\|TCP_Option-Unknown\\|
\\|URL_Category-Accounting\\|
msg=New engine upgrades available on Forcepoint web site: Engine upgrades NGFW upgrade .* build \\d+ for .*
\\|TCP_Segment-SYN-No-Options\\|
msg=Connection was reset by client
\\|FW_New-Route-Based-VPN-Connection\\|0\\|.* act=Discard
\\|TCP_Checksum-Mismatch\\|
msg=Notifications: N\\(HTTP_CERT_LOOKUP_SUPPORTED\\), N\\(MESSAGE_ID_SYNC_SUPPORTED\\), N\\(ESP_TFC_PADDING_NOT_SUPPORTED\\), N\\(NON_FIRST_FRAGMENTS_ALSO\\)
\\|FW_New-IPsec-VPN-Connection\\|
\\|FW_Related-Connection\\|
\\|Connection_Progress\\|
msg=Connection was reset by server
msg=Connection timeout in state TCP_SYN_SEEN
\\|Connection_Rematched\\|
\\|Connection_Allowed\\|
\\|Connection_Discarded\\|
\\|Connection_Closed\\|
\\|Log_Compress-SIDs\\|
act=Allow msg=Referred connection
\\|FW_New-Route-Based-VPN-Connection\\|0\\|.* act=Allow
\\|HTTP_URL-Logged\\|1\\|.* act=Permit
msg=Message type \\w+. XID: .*. Relay ip .*. Relayed to .*
\\|Generic\\|0\\|.*msg=Rekeyed IPsec SA installed. Inbound
msg=HISTORY: PID\\W+\\d+ UID\\W+\\d+ USER\\W+\\w+
msg=\\[I\\]\\[.*\\] Gid map: inside_gid:\\d+ outside_gid:\\d+ count:\\d+
msg=\\[I\\]\\[.*\\] Jail parameters
msg=\\[I\\]\\[.*\\] Uid map: inside_uid:\\d+ outside_uid:\\d+ count:\\d+
msg=\\[I\\]\\[.*\\] pid\\W+\\d+ \\(\\[STANDALONE MODE\\]\\) exited with status: \\d+, \\(PIDs left: \\d+\\)
msg=\\[I\\]\\[.*\\] Mount: .* flags:.* type:.* options:.* dir:.*
\\|DNS_Client-Type-Unknown\\|2\\|.* act=Permit
\\|File_Allowed\\|1\\|.* act=Permit
\\|HTTP_Request-with-redirect-capability\\|1\\|
\\|FW_Info-Request\\|0\\|
\\|Generic\\|0\\|.*msg=\\[\\d+\\.\\d+\\].*

威脅對應範例

"alertType":"Mirai.Botnet", "threatId":"T1498", "threatName":"Network Denial of Service",
"alertType":"WIFICAM.P2P.GoAhead.Multiple.Remote.Code.Execution", "threatId":"T1203", "threatName":"Exploitation for Client Execution",
"alertType":"TCP.Split.Handshake", "threatId":"T1082", "threatName":"System Information Discovery",
"alertType":"WePresent.WiPG1000.Command.Injection", "threatId":"T1203", "threatName":"Exploitation for Client Execution",
"alertType":"Open.Flash.Chart.PHP.File.Upload", "threatId":"T1105", "threatName":"Ingress Tool Transfer",