Palo Alto PAN-OS-Integration
Sie können Palo Alto PAN-OS in Sophos Central integrieren, sodass Warnmeldungen an Sophos zur Analyse gesendet werden.
Auf dieser Seite erhalten Sie einen Überblick über die Integration.
Produktübersicht zu Palo Alto PAN-OS
Panorama PAN-OS von Palo Alto Networks ist ein zentraliertes Sicherheitsmanagementsystem, das Benutzern globale Transparenz, Richtlinienkontrolle und Arbeitsablauf-Automatisierung für die gesamte Firewall-Flotte bietet. Mit einem ganzheitlichen Ansatz für die Netzwerksicherheit gewährleistet es eine konsistente Abdeckung und Bedrohungsinformationen in Echtzeit.
Sophos-Dokumente
Was wir erfassen
Wir nehmenThreat
, WildFire Submission
und Global Protect
-Protokolle und eine Untergruppe von Traffic
-Protokollen auf.
Beispiel für Warnmeldungen, die Sophos gesehen hat:
- Sicherheitsanfälligkeit Spring Boot Actuator H2 bezüglich Remotecodeausführung (93279)
- Sicherheitsanfälligkeit in RealNetworks RealPlayer bezüglich Stapelpufferüberlaufs beim Analysieren von URL-Adressen (37255)
- Sicherheitsanfälligkeit in Dahua DVR Appliances bezüglich Authentifizierungsumgehung (38926)
- Microsoft Windows NTLMSSP-Erkennung (92322)
- Kompromittierter Benutzername und/oder Kennwort aufgrund vorheriger Datenschutzverletzung bei eingehender FTP-Anmeldung (SIGNATUR)
Alarme werden vollständig erfasst
Unsere Empfehlungen zur Konfiguration der Protokollweiterleitung finden Sie unter Palo Alto PAN-OS integrieren.
Filterung
Wir filtern die Protokolle wie folgt.
Agent-Filter
- Wir ERLAUBEN gültige
CEF
. - Wir VERWERFEN Verkehrsprotokolle.
Plattformfilter
- Wir VERWERFEN verschiedene überprüfte und nicht sicherheitsrelevante Nachrichten und Protokolle.
- Wir VERWERFEN DNS-Anforderungsprotokolle.
- Wir VERWERFEN diverse VPN-Protokolle.
- Wir VERWERFEN Wildfire-Protokolle, die als
benign
klassifiziert sind. - Wir VERWERFEN verschiedene Meldungen mit hohem Aufkommen und niedrigem Wert.
Beispiele für Bedrohungszuordnungen
Zur Bestimmung des Warnmeldungstyps verwenden wir eines dieser Felder, je nach Warnmeldungsklassifizierung und den darin enthaltenen Feldern.
cef.deviceEventClassID
PanOSThreatCategory
"value": "=> !isEmpty(fields.cat) && !is(fields.cat, 'vulnerability') ? searchRegexList(fields.cat, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.cat, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.cat : !isEmpty(fields.cat) && is(fields.cat, 'vulnerability') ? searchRegexList(cef.deviceEventClassID, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) ?searchRegexList(cef.deviceEventClassID, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) : cef.deviceEventClassID : isEmpty(fields.cat) && !isEmpty(fields.PanOSThreatCategory) ? fields.PanOSThreatCategory : undefined",
Beispielzuordnungen:
{"alertType": "Apache Log4j Remote Code Execution Vulnerability(N)", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "RealVNC VNC Server ClientCutText Message Memory Corruption Vulnerability(33672)", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "DOCX With Attached Templates In Multiple Attacks(86646)", "threatId": "T1221", "threatName": "Template Injection"}
{"alertType": "Generic Cross-Site Scripting Vulnerability(94093)", "threatId": "T1189", "threatName": "Drive-by Compromise"}
{"alertType": "Fastflux:DOMAIN(N)", "threatId": "T1036", "threatName": "Masquerading"}
{"alertType": "Virus.ramnit:lfjyaf.com(121569082)", "threatId": "TA0002", "threatName": "Execution"}
{"alertType": "OpenSSL SSL_check_chain NULL Pointer Dereference Vulnerability(58033)" "threatId": "T1573", "threatName": "Encrypted Channel"}
{"alertType": "Microsoft Office File Embedded in PDF File Detection(86796)", "threatId": "T1204.002", "threatName": "Malicious File"}