Integración de Ubiquiti UniFi
Puede integrar Ubiquiti UniFi con Sophos Central para que envíe alertas a Sophos para analizarlas.
Esta página presenta una visión general de la integración.
Resumen de Ubiquiti UniFi
Ubiquiti UniFi Gateway gestiona y supervisa el tráfico de red y aplica reglas y políticas predefinidas para mejorar el perímetro de seguridad de las redes de las organizaciones. A través de una plataforma centralizada, Ubiquiti Firewall permite administrar eficazmente las configuraciones de seguridad de la red, garantizando que los dispositivos conectados y los datos transmitidos estén protegidos frente a posibles vulnerabilidades y ataques.
Documentos de Sophos
Datos que ingerimos
Mensajes security-detection-uuid de Syslog generados desde dispositivos de puerta de enlace Ubiquiti UniFi, incluidos los siguientes modelos:
- USG
- UXG
- UDM
Filtrado
Filtramos las alertas de la siguiente manera:
- Eliminamos las alertas que no tengan un formato CEF válido.
- Eliminamos las alertas que no procedan de la función IDS/IPS (detección y prevención de intrusiones).
Muestra de asignaciones de amenazas
{"alertType": "ET SCAN MS Terminal Server Traffic on Non-standard Port", "threatId": "T1571", "threatName": "Non-Standard Port"}
{"alertType": "USERNAME made changes to DEVICENAME DEVICE.", "threatId": "T1562.004", "threatName": "Impair Defenses: Disable or Modify System Firewall"}
{"alertType": "ET DROP Dshield Block Listed Source group 1", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "ET SCAN Zmap User-Agent (Inbound)", "threatId": "T1046", "threatName": "Network Service Scanning"}
Documentación del proveedor
- Puerta de enlace UniFi - Detección y prevención de intrusiones (IDS/IPS)
- UDM SE - Alertas de detección de amenazas