Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=sonicwall-overview

Integración de SonicWall SonicOS

Recopilador de registros Firewall

Puede integrar SonicWall SonicOS con Sophos Central para que envíe alertas a Sophos para analizarlas.

Esta página presenta una visión general de la integración.

Presentación del producto de SonicWall SonicOS

SonicWall ofrece una plataforma automatizada de detección y prevención de filtraciones en tiempo real. Ofrece un enfoque de espacio seguro multimotor que detiene las amenazas en la puerta de enlace, garantizando la continuidad de la actividad y mejorando la eficiencia de la red.

Documentos de Sophos

Integrar SonicWall SonicOS

Datos que ingerimos

Ejemplos de alertas vistas por Sophos:

  • ICMP PING CyberKit
  • INFO Telerik.Web.UI.WebResource.axd Access
  • Initial Aggressive Mode Completed
  • User Login Timeout
  • VPN Policy Enabled/Disabled
  • WEB-ATTACKS Apache Struts OGNL Expression Language Injection
  • WEB-ATTACKS Cross Web Server Remote Code Execution
  • WEB-ATTACKS Crystal Reports Web Viewer Information Disclosure
  • DNS Rebind Attack Blocked
  • IoT-ATTACKS Cisco Adaptive Security Appliance XSS
  • IoT-ATTACKS Axis IP Camera Authentication Bypass

Filtrado

Filtramos los mensajes de la siguiente manera:

  • ACEPTAMOS las alertas que utilizan un formato de evento común (CEF) válido.
  • Aplicamos filtros DROP de nivel 20 para eliminar mensajes de gran volumen pero escaso valor.

Muestra de asignaciones de amenazas

Para determinar el tipo de alerta, utilizamos uno de estos campos, dependiendo de la clasificación de alerta y los campos que incluye.

  • ipscat
  • spycat

De lo contrario, recurrimos a cef.name.

"value": "=> !isEmpty(fields.ipscat) ? searchRegexList(trim(replace( fields.ipscat, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(trim(replace( fields.ipscat, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : trim(replace( fields.ipscat, /\\\\*\"/g, '')) : !isEmpty(fields.spycat) ? searchRegexList(trim(replace( fields.spycat, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(trim(replace( fields.spycat, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : trim(replace( fields.spycat, /\\\\*\"/g, '')) : !isEmpty(cef.name) ? searchRegexList(trim(replace( cef.name, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(trim(replace( cef.name, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : trim(replace( cef.name, /\\\\*\"/g, '')) : undefined ",

Asignaciones de ejemplo:

{"alertType": "IP Spoof Detected", "threatId": "T1498", "threatName": "Network Denial of Service"}
{"alertType": "NTP Update Successful", "threatId": "T1547.003", "threatName": "Time Providers"}
{"alertType": "IPsec SA Added", "threatId": "T1552.004", "threatName": "Private Keys"}

Documentación del proveedor