跳至內容
了解我們如何支援MDR。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=palo-alto-overview

Palo Alto PAN-OS 整合

您可以將 Palo Alto PAN-OS 與 Sophos Central 整合,讓其將警示傳送至 Sophos 進行分析。

本頁面提供此整合功能的概覽。

Palo Alto PAN-OS 產品簡介

Palo Alto Networks 的 Panorama PAN-OS 是一個集中式安全管理系統,可為使用者提供跨整個防火牆部署的全域可見性、原則控制和工作流程自動化。這是一種整體網路安全方法,可確保一致的覆蓋範圍和即時威脅情報。

Sophos 說明文件

整合 Palo Alto PAN-OS

我們擷取的內容

我們攝取 ThreatWildFire SubmissionGlobal Protect 日誌,以及一部分 Traffic 日誌。

Sophos 可擷取的範例警示包括:

  • Spring Boot Actuator H2 遠端程式碼執行漏洞 (93279)
  • RealNetworks RealPlayer URL 剖析堆疊緩衝區溢位漏洞 (37255)
  • Dahua 安全性 DVR 裝置驗證繞過漏洞 (38926)
  • Microsoft Windows NTLMSSP 偵測 (92322)
  • FTP 登入過程中偵測到先前資料外洩事件中洩漏的帳號和/或密碼 (SIGNATURE)

完整擷取警示

有關配置日誌轉發的建議,請參見 整合 Palo Alto PAN-OS

資料篩選

我們的日誌篩選規則如下:

代理程式篩選

  • 我們允許合法的 CEF
  • 我們刪除流量記錄。

平台篩選

  • 我們刪除多項經審查後確認與安全性無關的訊息與日誌。
  • 我們刪除 DNS 請求記錄。
  • 我們刪除部分 VPN 日誌。
  • 我們刪除被分類為 benign 的 Wildfire 日誌。
  • 我們刪除各種高頻率但低價值的指定訊息。

威脅對應範例

為了判斷警示類型,我們會根據警示分類與所包含的欄位,使用以下欄位之一進行比對。

  • cef.deviceEventClassID
  • PanOSThreatCategory
"value": "=> !isEmpty(fields.cat) && !is(fields.cat, 'vulnerability') ? searchRegexList(fields.cat, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.cat, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.cat : !isEmpty(fields.cat) && is(fields.cat, 'vulnerability') ? searchRegexList(cef.deviceEventClassID, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) ?searchRegexList(cef.deviceEventClassID, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) : cef.deviceEventClassID : isEmpty(fields.cat) && !isEmpty(fields.PanOSThreatCategory) ? fields.PanOSThreatCategory : undefined",

範例對應項目如下:

{"alertType":"Apache Log4j Remote Code Execution Vulnerability(N)", "threatId":"T1203", "threatName":"Exploitation for Client Execution"}
{"alertType":"RealVNC VNC Server ClientCutText Message Memory Corruption Vulnerability(33672)", "threatId":"T1203", "threatName":"Exploitation for Client Execution"}
{"alertType":"DOCX With Attached Templates In Multiple Attacks(86646)", "threatId":"T1221", "threatName":"Template Injection"}
{"alertType":"Generic Cross-Site Scripting Vulnerability(94093)", "threatId":"T1189", "threatName":"Drive-by Compromise"}
{"alertType":"Fastflux:DOMAIN(N)", "threatId":"T1036", "threatName":"Masquerading"}
{"alertType":"Virus.ramnit:lfjyaf.com(121569082)", "threatId":"TA0002", "threatName":"Execution"}
{"alertType":"OpenSSL SSL_check_chain NULL Pointer Dereference Vulnerability(58033)"  "threatId":"T1573", "threatName":"Encrypted Channel"}
{"alertType":"Microsoft Office File Embedded in PDF File Detection(86796)", "threatId":"T1204.002", "threatName":"Malicious File"}

原廠文件

設定日誌轉送