Aller au contenu
Découvrez comment nous prenons en charge MDR.

Intégration Barracuda CloudGen

Vous pouvez intégrer Barracuda CloudGen à Sophos Central pour lui permettre d’envoyer des alertes à Sophos pour analyse.

Cette page vous donne une vue générale de l’intégration.

Présentation de Barracuda CloudGen

Barracuda CloudGen Firewall offre des solutions de sécurité complètes pour les réseaux cloud et hybrides. Le pare-feu améliore la connectivité site à site et permet un accès ininterrompu aux applications hébergées dans le cloud. Avec des défenses multi-niveaux, y compris une protection avancée contre les menaces et des réseaux de renseignement mondiaux, Barracuda assure une protection en temps réel contre diverses cybermenaces telles que les ransomwares et les attaques « Zero-day ». Pouvant être déployé sur des environnements physiques et cloud, il fournit des fonctionnalités SD-WAN intégrées pour une connectivité transparente et des outils de gestion centralisée pour un déploiement simplifié et une visibilité complète du réseau.

Documents Sophos

Intégrer Barracuda CloudGen

Ce que nous ingérons

Exemples d’alertes vues par Sophos :

  • Login from IP_ADDRESS: Denied: Firewall Rule RULE
  • rolled out network relevant configuration files
  • Load Config from FILE
  • Plug and Play ACPI device, ID (active)
  • starting vpn client
  • FW UDP Connection Limit Exceeded
  • FW Rule Warning
  • FW Flood Ping Protection Activated

Alertes ingérées dans leur intégralité

Nous vous conseillons de configurer la sortie Syslog Detailed Firewall Reporting depuis le pare-feu Barracuda CloudGen; celui-ci est soumis à un filtrage important de sorte qu’il ne traite que les alertes de sécurité utiles.

La plupart des alertes sont standardisées avec des expressions régulières.

Filtrage

Nous filtrons actuellement les alertes les plus bruyantes. Les filtres incluent les éléments suivants :

  • UDP-NEW\\(Normal Operation,0\\)
  • Session Idle Timeout
  • \\[Request\\] Allow
  • \\[Request\\] Remove
  • \\[Sync\\] Changed: Transport
  • Session PHS: Authentication request from user
  • Tunnel has now one working transport
  • Session -------- Tunnel
  • Abort TCP transport
  • Info CHHUNFWHQ-01 Session
  • : Accounting LOGIN
  • State: REM\\(Unreachable Timeout,20\\)
  • read failed\\(IOStreamSock: Receive\\(\\) end of file\\) closing connection
  • DH attributes found in request, generating new key
  • \\[Sync\\] Changed: Checking Transports
  • State: UDP-FAIL\\(Port Unreachable,3\\)
  • DH key agreement successful
  • Request Timeout \\(HandshakeRequest ReqState=Init RepState=Init\\) -> terminate session
  • \\[Sync\\] Local: Update Transport
  • send fast reply
  • \\[Sync\\] Session Command
  • \\[HASYNC\\] update
  • Transport .* State changed to
  • Accounting LOGOUT
  • TCP.*close on command
  • Rule: Authentication Login
  • Rule: Authentication Logout
  • Error.*Request Timeout
  • Info.*Delete Transport
  • Info.*\\[HASYNC\\]
  • Notice.*\\[HASYNC\\]
  • Warning.*Tunnel Heartbeat failed
  • Info.*Worker Process.*timeout
  • Error.*Operation: Poll.*Timeout
  • Info.*\\(New Request
  • Info.*\\(Normal Operation

Exemples de mappages de menaces

Lorsqu’il est disponible, nous utilisons « fields.message » pour les mappages de menaces, ou recherchons un code dans le champ Info des types d’événements standard. Voir Événements de sécurité.

"alertType": "=> searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.message"

Exemples :

{"alertType": "Number of child processes automatically set to N based on number of CPU cores and size of RAM", "threatId": "T1057", "threatName": "Process Discovery"}
{"alertType": "found no explicit phase1 aggressive configuration in IP_ADDRESS for client", "threatId": "T1573", "threatName": "Encrypted Channel"}

Documentation fournisseur