Überblick über die Cisco Firepower-Integration
Cisco Firepower ist eine Firewall-Lösung, die mit Hilfe von kontextbezogenem Echtzeitbewusstsein Schutz vor komplexen Bedrohungen, Eindringschutz und eine Firewall der nächsten Generation in einer integrierten Plattform vereint.
Sophos-Dokumente
Was wir erfassen
Beispiel für Warnmeldungen, die Sophos gesehen hat:
INDICATOR-COMPROMISEMALWARE-CNC Win.Trojan.Njrat variant outbound connectionINDICATOR-SCAN SSH brute force login attemptPROTOCOL-SCADA Moxa discovery packet information disclosure attemptSERVER-WEBAPP Kibana Console for Elasticsearch local file inclusion attemptFILE-PDF TRUFFLEHUNTER TALOS-2017-0505 attack attemptSQL generic convert injection attempt - GET parameterExecutable Code was DetectedAPP-DETECT Steam game URI handlerSERVER-APACHE Apache Struts remote code execution attemptW32.975C0D48C4.RET.SBX.TG
Alarme werden vollständig erfasst
Sophos erfasst Sicherheitsalarme. Sie müssen Message: oder ThreatName: im Syslog enthalten.
Diese Alerts werden dann der Version 8 des Mitre Framework zugeordnet.
Filterung
Nur Alerts, die sich auf Sicherheitsereignisse beziehen, werden von uns erfasst. Sie müssen die Felder Message: oder ThreatName: im Syslog enthalten.
Siehe Cisco Secure Firewall Threat Defense: Security Event Syslog Messages.
Beispiele für Bedrohungszuordnungen
Wir definieren den Alert-Typ wie folgt:
Wenn das Feld message vorhanden ist, bereinigen und verwenden Sie es. Verwenden Sie ansonsten das Feld ThreatName.
{"alertType": "(ftp_server) FTP traffic encrypted", "threatId": "T1027", "threatName": "Obfuscated Files or Information"}
{"alertType": "PSNG_UDP_FILTERED_DISTRIBUTED_PORTSCAN", "threatId": "T1046", "threatName": "Network Service Scanning"}
{"alertType": "Misc Activity", "threatId": "TA0043", "threatName": "Reconnaissance"}