Intégration de WatchGuard Firebox
Vous pouvez intégrer WatchGuard Firebox à Sophos Central pour qu’il envoie des données à Sophos.
Cette page vous donne une vue générale de l’intégration.
Vue générale du produit WatchGuard Firebox
WatchGuard propose une gamme de pare-feu faciles à déployer et à gérer, adaptés aux entreprises de toutes tailles. Leurs solutions se concentrent sur la détection et la réponse aux menaces avancées, renforcées par une visibilité rapide de l’activité du réseau et soutenues par la collecte de renseignements sur les menaces.
Documents Sophos
Ce que nous ingérons
Exemples d’alertes vues par Sophos :
blocked sites (reason IP scan attack)ProxyDeny: DNS invalid number of questionsAuthentication of ACCOUNT_TYPE user [USERNAME] from IP_ADDRESS was rejected, received an Access-Reject response from the (IP_ADDRESS) serverblocked sites (TOR blocking source)SSL VPN user NAME from IP_ADDRESS logged in assigned virtual IP is IP_ADDRESSRogue Access Point detected at MAC, broadcasting SSID NAMEAuthentication error. no matching session found for USERNAME.Device already has the latest TYPE signature version VERSIONProxyDrop: HTTP Virus foundProxyStrip: HTTP header malformedCannot start the signature update for 'TOR'Certificate (CERTIFICATE) is not valid.ProxyDeny: SMTP To addressWireless country specification from LiveSecurity Service was not received: error can't get country spec response from LiveSecurity Service, (retry_countN)Manual MICROSOFT365 update started'LIVESECURITY' feature expired (DATE) prior to package release date (DATE)sendalarm: failed to send alarm messageblocked sites (ThreatSync destination)WEB Microsoft IIS HTTP.sys Remote Code Execution Vulnerability (CVE-2015-1635)WEB Apache HTTPD mod_proxy_ajp Denial Of Service (CVE-2011-3348)Shutdown requested by systemVIRUS Eicar test string NDDOS from client IP_ADDRESS detected.WEB PHPUnit CVE-2017-9841 Arbitrary Code Execution VulnerabilitySSH Brute Force Login N
Filtrage
Nous filtrons les messages comme suit :
Filtre d’agent
- Nous AUTORISONS tous les journaux.
- Nous SUPPRIMONS des messages spécifiques de volume élevé et de faible valeur.
Filtre de plate-forme
- Nous AUTORISONS les LEEF valides.
- Nous SUPPRIMONS divers messages et journaux révisés et non liés à la sécurité.
- Nous SUPPRIMONS des messages spécifiques de volume élevé et de faible valeur.
Exemples de mappages de menaces
Nous utilisons l’un de ces champs pour déterminer le type d’alerte, en fonction de la classification de l’alerte et des champs qu’elle inclut.
fields.msgfields.IPS_ruleleef.eventID
"value": "=> !isEmpty(fields.msg) ? is(fields.msg, 'IPS detected') ? searchRegexList(fields.IPS_rule, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.IPS_rule, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.IPS_rule : searchRegexList(fields.msg, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.msg, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.msg : getNestedValue(_.referenceValues.code_translation, 'alert_translation', leef.eventId) ? getNestedValue(_.referenceValues.code_translation, 'alert_translation', leef.eventId) : getNestedValue(_.globalReferenceValues.code_translation, 'alert_translation', leef.eventId) ? getNestedValue(_.globalReferenceValues.code_translation, 'alert_translation', leef.eventId) : leef.eventId"
Exemples de mappages :
{"alertType": "ProxyAllow: HTTP Range header", "threatId": "T1498", "threatName": "Network Denial of Service"}
{"alertType": "Scheduled GAV update started", "threatId": "TA0005", "threatName": "Defense Evasion"}
{"alertType": "IPS detected", "threatId": "T1562.001", "threatName": "Disable or Modify Tools"}