Barracuda CloudGen-Integration
Sie können Barracuda CloudGen in Sophos Central integrieren, sodass Warnmeldungen zur Analyse an Sophos gesendet werden.
Auf dieser Seite erhalten Sie einen Überblick über die Integration.
Übersicht zu Barracuda CloudGen
Barracuda CloudGen Firewall bietet umfassende Sicherheitslösungen für Cloud- und Hybridnetzwerke. Die Firewall verbessert die standortübergreifende Konnektivität und ermöglicht unterbrechungsfreien Zugriff auf in der Cloud gehostete Anwendungen. Mit mehrschichtigen Abwehrsystemen, einschließlich fortschrittlichem Bedrohungsschutz und einem globalen Aufklärungsnetzwerk, sorgt Barracuda für Echtzeitschutz vor verschiedenen Cyberbedrohungen wie Ransomware und Zero-Day-Angriffen. Das Produkt kann in physischen oder Cloud-Umgebungen eingesetzt werden und bietet integrierte SD-WAN-Funktionen für nahtlose Konnektivität und zentralisierte Verwaltungstools für eine vereinfachte Bereitstellung und umfassende Netzwerktransparenz.
Sophos-Dokumente
Barracuda CloudGen integrieren
Was wir erfassen
Beispiel für Warnmeldungen, die Sophos gesehen hat:
Login from IP_ADDRESS: Denied: Firewall Rule RULErolled out network relevant configuration filesLoad Config from FILEPlug and Play ACPI device, ID (active)starting vpn clientFW UDP Connection Limit ExceededFW Rule WarningFW Flood Ping Protection Activated
Alarme werden vollständig erfasst
Wir empfehlen Ihnen, die detaillierte Firewall Reporting-Syslog-Ausgabe von der Barracuda CloudGen Firewall zu konfigurieren. Diese wird jedoch stark gefiltert, sodass nur nützliche Sicherheitswarnmeldungen verarbeitet werden.
Die meisten Warnmeldungen sind mit Regex standardisiert.
Filterung
Wir filtern derzeit die irrelevantesten Warnmeldungen heraus. Zu Filtern zählen:
UDP-NEW\\(Normal Operation,0\\)Session Idle Timeout\\[Request\\] Allow\\[Request\\] Remove\\[Sync\\] Changed: TransportSession PHS: Authentication request from userTunnel has now one working transportSession -------- TunnelAbort TCP transportInfo CHHUNFWHQ-01 Session: Accounting LOGINState: REM\\(Unreachable Timeout,20\\)read failed\\(IOStreamSock: Receive\\(\\) end of file\\) closing connectionDH attributes found in request, generating new key\\[Sync\\] Changed: Checking TransportsState: UDP-FAIL\\(Port Unreachable,3\\)DH key agreement successfulRequest Timeout \\(HandshakeRequest ReqState=Init RepState=Init\\) -> terminate session\\[Sync\\] Local: Update Transportsend fast reply\\[Sync\\] Session Command\\[HASYNC\\] updateTransport .* State changed toAccounting LOGOUTTCP.*close on commandRule: Authentication LoginRule: Authentication LogoutError.*Request TimeoutInfo.*Delete TransportInfo.*\\[HASYNC\\]Notice.*\\[HASYNC\\]Warning.*Tunnel Heartbeat failedInfo.*Worker Process.*timeoutError.*Operation: Poll.*TimeoutInfo.*\\(New RequestInfo.*\\(Normal Operation
Beispiele für Bedrohungszuordnungen
Wir verwenden „fields.message“ für Bedrohungszuordnungen, wenn sie vorhanden sind, oder suchen einen Code aus dem Infofeld der Standard-Ereignistypen. Siehe Sicherheitsereignisse.
"alertType": "=> searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.message"
Beispiele:
{"alertType": "Number of child processes automatically set to N based on number of CPU cores and size of RAM", "threatId": "T1057", "threatName": "Process Discovery"}
{"alertType": "found no explicit phase1 aggressive configuration in IP_ADDRESS for client", "threatId": "T1573", "threatName": "Encrypted Channel"}