Palo Alto PAN-OS-Integration
Sie können Palo Alto PAN-OS in Sophos Central integrieren, sodass Alerts an Sophos zur Analyse gesendet werden.
Auf dieser Seite erhalten Sie einen Überblick über die Integration.
Produktübersicht zu Palo Alto PAN-OS
Panorama PAN-OS von Palo Alto Networks ist ein zentraliertes Sicherheitsmanagementsystem, das Benutzern globale Transparenz, Richtlinienkontrolle und Arbeitsablauf-Automatisierung für die gesamte Firewall-Flotte bietet. Mit einem ganzheitlichen Ansatz für die Netzwerksicherheit gewährleistet es eine konsistente Abdeckung und Bedrohungsinformationen in Echtzeit.
Sophos-Dokumente
Was wir erfassen
Wir nehmen Threat-, WildFire Submission- und Global Protect-Protokolle und eine Untergruppe von Traffic-Protokollen auf.
Beispiel für Alerts, die Sophos gesehen hat:
- Sicherheitsanfälligkeit Spring Boot Actuator H2 bezüglich Remotecodeausführung (93279)
- Sicherheitsanfälligkeit in RealNetworks RealPlayer bezüglich Stapelpufferüberlaufs beim Analysieren von URL-Adressen (37255)
- Sicherheitsanfälligkeit in Dahua DVR Appliances bezüglich Authentifizierungsumgehung (38926)
- Microsoft Windows NTLMSSP-Erkennung (92322)
- Kompromittierter Benutzername und/oder Kennwort aufgrund vorheriger Datenschutzverletzung bei eingehender FTP-Anmeldung (SIGNATUR)
Alerts werden vollständig erfasst
Unsere Empfehlungen zur Konfiguration der Protokollweiterleitung finden Sie unter Palo Alto PAN-OS integrieren.
Filterung
Wir filtern die Protokolle wie folgt.
Agent-Filter
- Wir ERLAUBEN gültige
CEF. - Wir VERWERFEN Verkehrsprotokolle.
Plattformfilter
- Wir VERWERFEN verschiedene überprüfte und nicht sicherheitsrelevante Nachrichten und Protokolle.
- Wir VERWERFEN DNS-Anforderungsprotokolle.
- Wir VERWERFEN diverse VPN-Protokolle.
- Wir VERWERFEN Wildfire-Protokolle, die als
gutartigklassifiziert sind. - Wir VERWERFEN verschiedene Meldungen mit hohem Aufkommen und niedrigem Wert.
Beispiele für Bedrohungszuordnungen
Zur Bestimmung des Alert-Typs verwenden wir eines dieser Felder, je nach Alert-Klassifizierung und den darin enthaltenen Feldern.
cef.deviceEventClassIDPanOSThreatCategory
"value": "=> !isEmpty(fields.cat) && !is(fields.cat, 'vulnerability') ? searchRegexList(fields.cat, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.cat, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.cat : !isEmpty(fields.cat) && is(fields.cat, 'vulnerability') ? searchRegexList(cef.deviceEventClassID, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) ?searchRegexList(cef.deviceEventClassID, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) : cef.deviceEventClassID : isEmpty(fields.cat) && !isEmpty(fields.PanOSThreatCategory) ? fields.PanOSThreatCategory : undefined",
Beispielzuordnungen:
{"alertType": "Apache Log4j Remote Code Execution Vulnerability(N)", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "RealVNC VNC Server ClientCutText Message Memory Corruption Vulnerability(33672)", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "DOCX With Attached Templates In Multiple Attacks(86646)", "threatId": "T1221", "threatName": "Template Injection"}
{"alertType": "Generic Cross-Site Scripting Vulnerability(94093)", "threatId": "T1189", "threatName": "Drive-by Compromise"}
{"alertType": "Fastflux:DOMAIN(N)", "threatId": "T1036", "threatName": "Masquerading"}
{"alertType": "Virus.ramnit:lfjyaf.com(121569082)", "threatId": "TA0002", "threatName": "Execution"}
{"alertType": "OpenSSL SSL_check_chain NULL Pointer Dereference Vulnerability(58033)" "threatId": "T1573", "threatName": "Encrypted Channel"}
{"alertType": "Microsoft Office File Embedded in PDF File Detection(86796)", "threatId": "T1204.002", "threatName": "Malicious File"}