Intégration Barracuda CloudGen

Outil de collecte des journaux Pare-feu

Vous pouvez intégrer Barracuda CloudGen à Sophos Central pour lui permettre d’envoyer des alertes à Sophos pour analyse.

Cette page vous donne une vue générale de l’intégration.

Présentation de Barracuda CloudGen

Barracuda CloudGen Firewall offre des solutions de sécurité complètes pour les réseaux cloud et hybrides. Le pare-feu améliore la connectivité site à site et permet un accès ininterrompu aux applications hébergées dans le cloud. Avec des défenses multi-niveaux, y compris une protection avancée contre les menaces et des réseaux de renseignement mondiaux, Barracuda assure une protection en temps réel contre diverses cybermenaces telles que les ransomwares et les attaques « Zero-day ». Pouvant être déployé sur des environnements physiques et cloud, il fournit des fonctionnalités SD-WAN intégrées pour une connectivité transparente et des outils de gestion centralisée pour un déploiement simplifié et une visibilité complète du réseau.

Documents Sophos

Intégrer Barracuda CloudGen

Ce que nous ingérons

Exemples d’alertes vues par Sophos :

Login from IP_ADDRESS: Denied: Firewall Rule RULE
rolled out network relevant configuration files
Load Config from FILE
Plug and Play ACPI device, ID (active)
starting vpn client
FW UDP Connection Limit Exceeded
FW Rule Warning
FW Flood Ping Protection Activated

Alertes ingérées dans leur intégralité

Nous vous conseillons de configurer la sortie Syslog Detailed Firewall Reporting depuis le pare-feu Barracuda CloudGen; celui-ci est soumis à un filtrage important de sorte qu’il ne traite que les alertes de sécurité utiles.

La plupart des alertes sont standardisées avec des expressions régulières.

Filtrage

Nous filtrons actuellement les alertes les plus bruyantes. Les filtres incluent les éléments suivants :

UDP-NEW\\(Normal Operation,0\\)
Session Idle Timeout
\\[Request\\] Allow
\\[Request\\] Remove
\\[Sync\\] Changed: Transport
Session PHS: Authentication request from user
Tunnel has now one working transport
Session -------- Tunnel
Abort TCP transport
Info CHHUNFWHQ-01 Session
: Accounting LOGIN
State: REM\\(Unreachable Timeout,20\\)
read failed\\(IOStreamSock: Receive\\(\\) end of file\\) closing connection
DH attributes found in request, generating new key
\\[Sync\\] Changed: Checking Transports
State: UDP-FAIL\\(Port Unreachable,3\\)
DH key agreement successful
Request Timeout \\(HandshakeRequest ReqState=Init RepState=Init\\) -> terminate session
\\[Sync\\] Local: Update Transport
send fast reply
\\[Sync\\] Session Command
\\[HASYNC\\] update
Transport .* State changed to
Accounting LOGOUT
TCP.*close on command
Rule: Authentication Login
Rule: Authentication Logout
Error.*Request Timeout
Info.*Delete Transport
Info.*\\[HASYNC\\]
Notice.*\\[HASYNC\\]
Warning.*Tunnel Heartbeat failed
Info.*Worker Process.*timeout
Error.*Operation: Poll.*Timeout
Info.*\\(New Request
Info.*\\(Normal Operation

Exemples de mappages de menaces

Lorsqu’il est disponible, nous utilisons « fields.message » pour les mappages de menaces, ou recherchons un code dans le champ Info des types d’événements standard. Voir Événements de sécurité.

"alertType": "=> searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.message"

Exemples :

{"alertType": "Number of child processes automatically set to N based on number of CPU cores and size of RAM", "threatId": "T1057", "threatName": "Process Discovery"}
{"alertType": "found no explicit phase1 aggressive configuration in IP_ADDRESS for client", "threatId": "T1573", "threatName": "Encrypted Channel"}