Présentation de l’intégration Cisco Firepower

Outil de collecte des journaux Pare-feu

Cisco Firepower est une solution de pare-feu qui utilise la connaissance du contexte en temps réel pour allier la protection contre les menaces avancées, la prévention contre les intrusions et un pare-feu de nouvelle génération dans une plate-forme intégrée.

Documents Sophos

Intégrer Cisco Firepower

Ce que nous ingérons

Exemples d’alertes vues par Sophos :

INDICATOR-COMPROMISE
MALWARE-CNC Win.Trojan.Njrat variant outbound connection
INDICATOR-SCAN SSH brute force login attempt
PROTOCOL-SCADA Moxa discovery packet information disclosure attempt
SERVER-WEBAPP Kibana Console for Elasticsearch local file inclusion attempt
FILE-PDF TRUFFLEHUNTER TALOS-2017-0505 attack attempt
SQL generic convert injection attempt - GET parameter
Executable Code was Detected
APP-DETECT Steam game URI handler
SERVER-APACHE Apache Struts remote code execution attempt
W32.975C0D48C4.RET.SBX.TG

Alertes ingérées dans leur intégralité

Sophos ingère les alertes de sécurité. Le syslog doit contenir Message: ou ThreatName:.

Ces alertes sont ensuite mappées sur la version 8 de la norme Mitre.

Filtrage

Nous n'ingérons que les alertes liées aux événements de sécurité. Le syslog doit contenir les champs Message: ou ThreatName:.

Voir Cisco Secure Firewall Threat Defense: Security Event Syslog Messages.

Exemples de mappages de menaces

Nous définissons le type d’alerte comme suit :

Nettoyer et utiliser le champ message s’il existe. Autrement, utiliser le champ ThreatName.

{"alertType": "(ftp_server) FTP traffic encrypted", "threatId": "T1027", "threatName": "Obfuscated Files or Information"}
{"alertType": "PSNG_UDP_FILTERED_DISTRIBUTED_PORTSCAN", "threatId": "T1046", "threatName": "Network Service Scanning"}
{"alertType": "Misc Activity", "threatId": "TA0043", "threatName": "Reconnaissance"}