Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=forcepoint-index

Forcepoint-Integration

Protokollsammler Firewall

Sie können Forcepoint Next-Generation Firewall (NGFW) in Sophos Central integrieren, sodass Warnmeldungen an Sophos zur Analyse gesendet werden.

Auf dieser Seite erhalten Sie einen Überblick über die Integration.

Forcepoint-Produktübersicht

Forcepoint Next-Generation Firewall (NGFW) funktioniert durch den Einsatz hoch entwickelte Mechanismen, die Transparenz, Kontrolle und kontextbezogene Analyse des Netzwerkverkehrs ermöglichen und dynamische Anpassungen von Sicherheitsrichtlinien und Abwehrmaßnahmen ermöglichen. Durch die Nutzung fortschrittlicher Technologien und eines benutzerorientierten Ansatzes ermöglicht die Firewall eine robuste Prävention und Erkennung von Bedrohungen und schützt so die Assets, Daten und Netzwerkinfrastruktur eines Unternehmens.

Sophos-Dokumente

Was wir erfassen

Beispiele für Alarme:

  • China.Chopper.Web.Shell.Client.Connection
  • Easy.Hosting.Control.Panel.FTP.Account.Security.Bypass
  • HTTP.URI.SQL.Injection
  • Malicious.HTTP.URI.Requests
  • Joomla!.com_fields.SQL.Injection

Alarme werden vollständig erfasst

Es wird empfohlen, die standardmäßige Syslog-Ausgabe von Forcepoint zu konfigurieren, die die folgenden Themen umfasst:

  • Clock Daemon für BSD-Systeme
  • Clock Daemon für System V-Systeme
  • File Transfer Protocol
  • Kernel-Nachrichten
  • Zeilendrucker-Subsystem
  • E-Mail-System
  • Intern von syslogd generierte Meldungen
  • Netzwerknachrichten-Subsystem
  • Network Time Protocol
  • Zufällige Nachrichten auf Benutzerebene
  • Sicherheits-/Autorisierungsmeldungen
  • Sicherheits-/Autorisierungsmeldungen (privat)
  • System-Daemons
  • UUCP-Subsystem

Die standardmäßige Syslog-Ausgabe finden Sie unter Syslog-Einträge.

Filterung

Alarme werden wie folgt gefiltert.

Zulassen

Gültiges CEF

Verwerfen

Beschreibung

Diese Einträge werden basierend auf dem Feedback unseres MDR-Analystenteams als nicht sicherheitsrelevante Ereignisse kategorisiert. Dazu gehören hauptsächlich Routine-VPN-Aktivitäten, standardmäßige Netzwerkvorgänge und automatisierte Systemmeldungen, die sich wiederholen und im Allgemeinen nicht kritisch sind, sodass eine Protokollierung nicht erforderlich ist.

Regex-Muster

  • msg=Connection dropped
  • msg=Delete notification received for .* SPI
  • \\|File-Filtering-Policy_Buffering-Limit-Exceeded\\|
  • \\|FW_New-SSL-VPN-Connection\\|
  • msg=IPsec SA Import succeeded
Beispiele
  • msg=IPsec SA initiator done. Rekeyed SPI: .* Encryption:.*, mac:.*
  • msg=IPsec SA responder done
  • msg=IKE SA deleted
  • msg=IKEv2 SA error: Timed out
  • msg=IKEv2 SA initiator failed, Local auth method: Reserved, Remote auth method: Reserved
  • msg=IPsec SA initiator error: Timed out
  • msg=Message type ack. XID: .* Relay ip .* Server ID: .* DNS: .* DNS: .* Domain: .*
  • msg=Message type offer. XID: .* Relay ip .* Server ID: .* DNS: .* DNS: .* Domain: .*
  • msg=Sending Dead Peer Detection notify \\(.*\\)
  • msg=Starting IKEv2 initiator negotiation
  • \\|TCP_Option-Unknown\\|
  • \\|URL_Category-Accounting\\|
  • msg=New engine upgrades available on Forcepoint web site: Engine upgrades NGFW upgrade .* build \\d+ for .*
  • \\|TCP_Segment-SYN-No-Options\\|
  • msg=Connection was reset by client
  • \\|FW_New-Route-Based-VPN-Connection\\|0\\|.* act=Discard
  • \\|TCP_Checksum-Mismatch\\|
  • msg=Notifications: N\\(HTTP_CERT_LOOKUP_SUPPORTED\\), N\\(MESSAGE_ID_SYNC_SUPPORTED\\), N\\(ESP_TFC_PADDING_NOT_SUPPORTED\\), N\\(NON_FIRST_FRAGMENTS_ALSO\\)
  • \\|FW_New-IPsec-VPN-Connection\\|
  • \\|FW_Related-Connection\\|
  • \\|Connection_Progress\\|
  • msg=Connection was reset by server
  • msg=Connection timeout in state TCP_SYN_SEEN
  • \\|Connection_Rematched\\|
  • \\|Connection_Allowed\\|
  • \\|Connection_Discarded\\|
  • \\|Connection_Closed\\|
  • \\|Log_Compress-SIDs\\|
  • act=Allow msg=Referred connection
  • \\|FW_New-Route-Based-VPN-Connection\\|0\\|.* act=Allow
  • \\|HTTP_URL-Logged\\|1\\|.* act=Permit
  • msg=Message type \\w+. XID: .*. Relay ip .*. Relayed to .*
  • \\|Generic\\|0\\|.*msg=Rekeyed IPsec SA installed. Inbound
  • msg=HISTORY: PID\\W+\\d+ UID\\W+\\d+ USER\\W+\\w+
  • msg=\\[I\\]\\[.*\\] Gid map: inside_gid:\\d+ outside_gid:\\d+ count:\\d+
  • msg=\\[I\\]\\[.*\\] Jail parameters
  • msg=\\[I\\]\\[.*\\] Uid map: inside_uid:\\d+ outside_uid:\\d+ count:\\d+
  • msg=\\[I\\]\\[.*\\] pid\\W+\\d+ \\(\\[STANDALONE MODE\\]\\) exited with status: \\d+, \\(PIDs left: \\d+\\)
  • msg=\\[I\\]\\[.*\\] Mount: .* flags:.* type:.* options:.* dir:.*
  • \\|DNS_Client-Type-Unknown\\|2\\|.* act=Permit
  • \\|File_Allowed\\|1\\|.* act=Permit
  • \\|HTTP_Request-with-redirect-capability\\|1\\|
  • \\|FW_Info-Request\\|0\\|
  • \\|Generic\\|0\\|.*msg=\\[\\d+\\.\\d+\\].*

Beispiele für Bedrohungszuordnungen

"alertType": "Mirai.Botnet", "threatId": "T1498", "threatName": "Network Denial of Service",
"alertType": "WIFICAM.P2P.GoAhead.Multiple.Remote.Code.Execution", "threatId": "T1203", "threatName": "Exploitation for Client Execution",
"alertType": "TCP.Split.Handshake", "threatId": "T1082", "threatName": "System Information Discovery",
"alertType": "WePresent.WiPG1000.Command.Injection", "threatId": "T1203", "threatName": "Exploitation for Client Execution",
"alertType": "Open.Flash.Chart.PHP.File.Upload", "threatId": "T1105", "threatName": "Ingress Tool Transfer",

Herstellerdokumentation