跳至內容
部分或全部頁面已經過機器翻譯。
了解我們如何支援MDR。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=sonicwall-overview

SonicWall SonicOS整合

記錄收集器 防火牆

您可以將 SonicWall SonicOS 與 Sophos Central 整合,讓其將警示傳送至 Sophos 進行分析。

本頁面提供此整合功能的概覽。

SonicWall SonicOS 產品概覽

SonicWall 提供自動化、即時的違規偵測和預防平台。它提供了一種多引擎沙箱方法,可以在閘道處阻止威脅,確保業務連續性並提高網路效率。

Sophos 文件資訊

整合 SonicWall SonicOS

資料擷取內容

Sophos 可擷取的範例警示包括:

  • ICMP PING CyberKit
  • INFO Telerik.Web.UI.WebResource.axd Access
  • Initial Aggressive Mode Completed
  • User Login Timeout
  • VPN Policy Enabled/Disabled
  • WEB-ATTACKS Apache Struts OGNL Expression Language Injection
  • WEB-ATTACKS Cross Web Server Remote Code Execution
  • WEB-ATTACKS Crystal Reports Web Viewer Information Disclosure
  • DNS Rebind Attack Blocked
  • IoT-ATTACKS Cisco Adaptive Security Appliance XSS
  • IoT-ATTACKS Axis IP Camera Authentication Bypass

資料篩選

我們按以下方式篩選警示:

  • 我們允許使用有效的通用事件格式(CEF)的警示。
  • 我們應用等級 20 的 DROP 過濾器,以移除高容量但低價值的訊息。

威脅對應範例

為了判斷警示類型,我們會根據警示分類與所包含的欄位,使用以下欄位之一進行比對。

  • ipscat
  • spycat

否則,我們將回退到cef.name

"value": "=> !isEmpty(fields.ipscat) ? searchRegexList(trim(replace( fields.ipscat, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(trim(replace( fields.ipscat, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : trim(replace( fields.ipscat, /\\\\*\"/g, '')) : !isEmpty(fields.spycat) ? searchRegexList(trim(replace( fields.spycat, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(trim(replace( fields.spycat, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : trim(replace( fields.spycat, /\\\\*\"/g, '')) : !isEmpty(cef.name) ? searchRegexList(trim(replace( cef.name, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(trim(replace( cef.name, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : trim(replace( cef.name, /\\\\*\"/g, '')) : undefined ",

範例對應項目如下:

{"alertType": "IP Spoof Detected", "threatId": "T1498", "threatName": "Network Denial of Service"}
{"alertType": "NTP Update Successful", "threatId": "T1547.003", "threatName": "Time Providers"}
{"alertType": "IPsec SA Added", "threatId": "T1552.004", "threatName": "Private Keys"}

原廠文件