跳至內容
部分或全部頁面已經過機器翻譯。
了解我們如何支援MDR。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=sonicwall-overview

SonicWall SonicOS 整合

您可以將 SonicWall SonicOS 與 Sophos Central 整合,讓其將警示傳送至 Sophos 進行分析。

本頁面提供此整合功能的概覽。

SonicWall SonicOS 產品概覽

SonicWall 提供自動化、即時的違規偵測和預防平台。它提供了一種多引擎沙箱方法,可以在閘道處阻止威脅,確保業務連續性並提高網路效率。

Sophos 說明文件

整合 SonicWall SonicOS

我們擷取的內容

Sophos 可擷取的範例警示包括:

  • ICMP PING 網路工具包
  • INFO Telerik.Web.UI.WebResource.axd Access
  • 初始進攻模式完成
  • 使用者登入超時
  • VPN 原則啟用/停用
  • WEB-ATTACKS Apache Struts OGNL 表達式語言注入攻擊
  • WEB-ATTACKS 跨網頁伺服器遠端程式碼執行
  • WEB-ATTACKS Crystal Reports Web Viewer 資訊外洩漏洞
  • DNS 重新綁定攻擊已遭阻擋
  • 物聯網攻擊:思科自適應安全設備跨站腳本漏洞
  • 物聯網攻擊:Axis IP 攝影機驗證繞過漏洞

資料篩選

We filter messages as follows:

  • 我們允許使用有效的通用事件格式(CEF)的警示。
  • 我們採用第20級DROP過濾器,以捨棄大量但價值低的消息。

威脅對應範例

為了判斷警示類型,我們會根據警示分類與所包含的欄位,使用以下欄位之一進行比對。

  • ipscat
  • spycat

否則,我們將回退至cef.name

"value": "=> !isEmpty(fields.ipscat) ? searchRegexList(trim(replace( fields.ipscat, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(trim(replace( fields.ipscat, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : trim(replace( fields.ipscat, /\\\\*\"/g, '')) : !isEmpty(fields.spycat) ? searchRegexList(trim(replace( fields.spycat, /\\\\*\"/g, '')) : !isEmpty(fields.spycat) ? searchRegexList(trim(replace( fields.spycat, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : trim(replace( fields.spycat, /\\\\*\"/g, '')) : !isEmpty(cef.name) ? searchRegexList(trim(replace( cef.name, /\\\\*\"/g, '')) : !isEmpty(cef.name) ? searchRegexList(trim(replace( cef.name, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : trim(replace( cef.name, /\\\\*\"/g, '')) : undefined ",

範例對應項目如下:

{"alertType":"IP Spoof Detected", "threatId":"T1498", "threatName":"Network Denial of Service"}
{"alertType":"NTP Update Successful", "threatId":"T1547.003", "threatName":"Time Providers"}
{"alertType":"IPsec SA Added", "threatId":"T1552.004", "threatName":"Private Keys"}

原廠文件