Integración de Barracuda CloudGen
Puede integrar Barracuda CloudGen con Sophos Central para que envíe alertas a Sophos para analizarlas.
Esta página presenta una visión general de la integración.
Resumen de Barracuda CloudGen
Barracuda CloudGen Firewall ofrece soluciones de seguridad integrales para redes híbridas y en la nube. El firewall mejora la conectividad de sitio a sitio y permite el acceso ininterrumpido a aplicaciones alojadas en la nube. Barracuda cuenta con una defensa multicapa, que incluye protección avanzada contra amenazas y redes de información globales, y garantiza una protección en tiempo real frente a diversas amenazas, como el ransomware y los ataques de día cero. Puede desplegarse en entornos físicos y en la nube, y ofrece funciones SD-WAN integradas para una conectividad ininterrumpida, así como herramientas de gestión centralizada para un despliegue simplificado y una visibilidad de red integral.
Documentos de Sophos
Datos que ingerimos
Ejemplos de alertas vistas por Sophos:
Login from IP_ADDRESS: Denied: Firewall Rule RULErolled out network relevant configuration filesLoad Config from FILEPlug and Play ACPI device, ID (active)starting vpn clientFW UDP Connection Limit ExceededFW Rule WarningFW Flood Ping Protection Activated
Alertas ingeridas en su totalidad
Le aconsejamos que configure la salida de syslog de Generación detallada de informes del firewall Barracuda CloudGen, pero que esté sujeto a un filtrado significativo para que solo se procesen alertas de seguridad útiles.
La mayoría de las alertas están estandarizadas con regex.
Filtrado
Actualmente filtramos las alertas más ruidosas. Entre los filtros se incluyen:
UDP-NEW\\(Normal Operation,0\\)Session Idle Timeout\\[Request\\] Allow\\[Request\\] Remove\\[Sync\\] Changed: TransportSession PHS: Authentication request from userTunnel has now one working transportSession -------- TunnelAbort TCP transportInfo CHHUNFWHQ-01 Session: Accounting LOGINState: REM\\(Unreachable Timeout,20\\)read failed\\(IOStreamSock: Receive\\(\\) end of file\\) closing connectionDH attributes found in request, generating new key\\[Sync\\] Changed: Checking TransportsState: UDP-FAIL\\(Port Unreachable,3\\)DH key agreement successfulRequest Timeout \\(HandshakeRequest ReqState=Init RepState=Init\\) -> terminate session\\[Sync\\] Local: Update Transportsend fast reply\\[Sync\\] Session Command\\[HASYNC\\] updateTransport .* State changed toAccounting LOGOUTTCP.*close on commandRule: Authentication LoginRule: Authentication LogoutError.*Request TimeoutInfo.*Delete TransportInfo.*\\[HASYNC\\]Notice.*\\[HASYNC\\]Warning.*Tunnel Heartbeat failedInfo.*Worker Process.*timeoutError.*Operation: Poll.*TimeoutInfo.*\\(New RequestInfo.*\\(Normal Operation
Muestra de asignaciones de amenazas
Usamos fields.message para asignaciones de amenazas donde esté presente, o buscamos un código en el campo de información de los tipos de eventos estándar. Consulte Eventos de seguridad.
"alertType": "=> searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.message"
Muestras:
{"alertType": "Number of child processes automatically set to N based on number of CPU cores and size of RAM", "threatId": "T1057", "threatName": "Process Discovery"}
{"alertType": "found no explicit phase1 aggressive configuration in IP_ADDRESS for client", "threatId": "T1573", "threatName": "Encrypted Channel"}