Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=palo-alto-overview

Palo Alto PAN-OS-Integration

Protokollsammler Firewall

Sie können Palo Alto PAN-OS in Sophos Central integrieren, sodass Warnmeldungen an Sophos zur Analyse gesendet werden.

Auf dieser Seite erhalten Sie einen Überblick über die Integration.

Produktübersicht zu Palo Alto PAN-OS

Panorama PAN-OS von Palo Alto Networks ist ein zentraliertes Sicherheitsmanagementsystem, das Benutzern globale Transparenz, Richtlinienkontrolle und Arbeitsablauf-Automatisierung für die gesamte Firewall-Flotte bietet. Mit einem ganzheitlichen Ansatz für die Netzwerksicherheit gewährleistet es eine konsistente Abdeckung und Bedrohungsinformationen in Echtzeit.

Sophos-Dokumente

Palo Alto PAN-OS integrieren

Was wir erfassen

Wir nehmenThreat, WildFire Submission und Global Protect-Protokolle und eine Untergruppe von Traffic-Protokollen auf.

Beispiel für Warnmeldungen, die Sophos gesehen hat:

  • Sicherheitsanfälligkeit Spring Boot Actuator H2 bezüglich Remotecodeausführung (93279)
  • Sicherheitsanfälligkeit in RealNetworks RealPlayer bezüglich Stapelpufferüberlaufs beim Analysieren von URL-Adressen (37255)
  • Sicherheitsanfälligkeit in Dahua DVR Appliances bezüglich Authentifizierungsumgehung (38926)
  • Microsoft Windows NTLMSSP-Erkennung (92322)
  • Kompromittierter Benutzername und/oder Kennwort aufgrund vorheriger Datenschutzverletzung bei eingehender FTP-Anmeldung (SIGNATUR)

Alarme werden vollständig erfasst

Unsere Empfehlungen zur Konfiguration der Protokollweiterleitung finden Sie unter Palo Alto PAN-OS integrieren.

Filterung

Wir filtern die Protokolle wie folgt.

Agent-Filter

  • Wir ERLAUBEN gültige CEF.
  • Wir VERWERFEN Verkehrsprotokolle.

Plattformfilter

  • Wir VERWERFEN verschiedene überprüfte und nicht sicherheitsrelevante Nachrichten und Protokolle.
  • Wir VERWERFEN DNS-Anforderungsprotokolle.
  • Wir VERWERFEN diverse VPN-Protokolle.
  • Wir VERWERFEN Wildfire-Protokolle, die als benign klassifiziert sind.
  • Wir VERWERFEN verschiedene Meldungen mit hohem Aufkommen und niedrigem Wert.

Beispiele für Bedrohungszuordnungen

Zur Bestimmung des Warnmeldungstyps verwenden wir eines dieser Felder, je nach Warnmeldungsklassifizierung und den darin enthaltenen Feldern.

  • cef.deviceEventClassID
  • PanOSThreatCategory
"value": "=> !isEmpty(fields.cat) && !is(fields.cat, 'vulnerability') ? searchRegexList(fields.cat, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.cat, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.cat : !isEmpty(fields.cat) && is(fields.cat, 'vulnerability') ? searchRegexList(cef.deviceEventClassID, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) ?searchRegexList(cef.deviceEventClassID, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) : cef.deviceEventClassID : isEmpty(fields.cat) && !isEmpty(fields.PanOSThreatCategory) ? fields.PanOSThreatCategory : undefined",

Beispielzuordnungen:

{"alertType": "Apache Log4j Remote Code Execution Vulnerability(N)", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "RealVNC VNC Server ClientCutText Message Memory Corruption Vulnerability(33672)", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "DOCX With Attached Templates In Multiple Attacks(86646)", "threatId": "T1221", "threatName": "Template Injection"}
{"alertType": "Generic Cross-Site Scripting Vulnerability(94093)", "threatId": "T1189", "threatName": "Drive-by Compromise"}
{"alertType": "Fastflux:DOMAIN(N)", "threatId": "T1036", "threatName": "Masquerading"}
{"alertType": "Virus.ramnit:lfjyaf.com(121569082)", "threatId": "TA0002", "threatName": "Execution"}
{"alertType": "OpenSSL SSL_check_chain NULL Pointer Dereference Vulnerability(58033)"  "threatId": "T1573", "threatName": "Encrypted Channel"}
{"alertType": "Microsoft Office File Embedded in PDF File Detection(86796)", "threatId": "T1204.002", "threatName": "Malicious File"}

Herstellerdokumentation

Konfigurieren der Protokollweiterleitung