Intégration de Check Point Quantum Firewall
Vous pouvez intégrer le pare-feu Quantum de Check Point à Sophos Central afin de lui permettre d’envoyer des données d’audit à Sophos pour analyse.
Cette page vous donne une vue générale de l’intégration.
Vue générale du produit Check Point Quantum Firewall
Le pare-feu ITP de Check Point est une solution de sécurité intégrée conçue pour fournir une protection complète contre les menaces sur l’ensemble de l’infrastructure informatique. Grâce à la technologie de collecte de renseignements sur les menaces en temps réel et à des technologies de prévention avancées, les réseaux restent sécurisés contre les menaces connues et émergentes.
Documents Sophos
Intégrer Check Point Quantum Firewall
Ce que nous ingérons
Exemples d’alertes vues par Sophos :
Streaming Engine: TCP anomaly detectedMalformed PacketSSL Enforcement ViolationBackdoor.WIN32.Zegost.ATrojan.Win32.HackerDefender.AMalware.TC.268bRWCTPhishing.RS.TC.29f5jdTiSYN AttackVirus.WIN32.Sality.DYMicrosoft Exchange Server Remote Code ExecutionNetwork Denial of Service Based Attack Detected on ConnectionNostromo Web Server Directory Traversal (CVE-2019-16278)
Filtrage
Nous filtrons les messages comme suit :
- Nous AUTORISONS uniquement les alertes utilisant un format d’événement commun (CEF) valide.
Exemples de mappages de menaces
Nous utilisons l’un de ces champs pour déterminer le type d’alerte, en fonction de la classification de l’alerte et des champs qu’elle inclut.
cef.deviceEventClassIDcef.namemsgproduct"value": "=> is(fields.product, 'SmartDefense') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Attack Information') && !is(fields.flexString2, 'Other') ? searchRegexList(fields.flexString2, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.flexString2, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.flexString2 : is(fields.product, 'Application Control') ? cef.deviceEventClassID : is(fields.product, 'New Anti Virus') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Malware Action') && !is(fields.flexString2, 'Other') ? fields.flexString2 : is(fields.product, 'Anti Malware') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Malware Action') && !is(fields.flexString2, 'Other') ? fields.flexString2 : is(fields.product, 'New Anti Virus') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Malware Action') && is(fields.flexString2, 'Other') ? cef.name : is(fields.product, 'Anti Malware') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Malware Action') && is(fields.flexString2, 'Other') ? cef.name : !isEmpty(fields.msg) ? searchRegexList(fields.msg, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.msg, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.msg : !isEmpty(fields.product) ? fields.product : undefined"
Exemples de mappages :
{"alertType": "Extracted files name: NAME Extracted files type: TYPE Extracted files sha1: SHA Extracted files verdict: VERDICT", "threatId": "T1598.002", "threatName": "Spearphishing Attachment"}
{"alertType": "Gallery search engine cross-site scripting", "threatId": "T1189", "threatName": "Drive-by Compromise"}
{"alertType": "Address spoofing", "threatId": "T1036", "threatName": "Masquerading"}
Documentation fournisseur
Guide d’administration de la journalisation et de la surveillance R80.30