Aller au contenu
Découvrez comment nous prenons en charge MDR.

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=forcepoint-index

Intégration de Forcepoint

Outil de collecte des journaux Pare-feu

Vous pouvez intégrer Forcepoint Next-Generation Firewall (NGFW) à Sophos Central pour lui permettre d’envoyer des alertes à Sophos pour analyse.

Cette page vous donne une vue générale de l’intégration.

Vue générale du produit Forcepoint

Le pare-feu de nouvelle génération (NGFW) Forcepoint fonctionne en utilisant des mécanismes sophistiqués qui fournissent visibilité, contrôle et analyse contextuelle du trafic réseau, permettant des ajustements dynamiques des stratégies de sécurité et des défenses. En exploitant des technologies avancées et une approche centrée sur l’utilisateur, le pare-feu permet de bénéficier de solides performances de la prévention et de la détection des menaces, protégeant ainsi les actifs de l’organisation, ses données et son infrastructure réseau.

Documents Sophos

Ce que nous ingérons

Exemples d’alertes concrètes :

  • China.Chopper.Web.Shell.Client.Connection
  • Easy.Hosting.Control.Panel.FTP.Account.Security.Bypass
  • HTTP.URI.SQL.Injection
  • Malicious.HTTP.URI.Requests
  • Joomla!.com_fields.SQL.Injection

Alertes ingérées dans leur intégralité

Nous vous recommandons de configurer la sortie syslog standard à partir de Forcepoint, qui comprend les rubriques suivantes :

  • Daemon d’horloge pour les systèmes BSD
  • Daemon d’horloge pour les systèmes System V.
  • Protocole de transfert de fichiers
  • Messages du noyau
  • Sous-système d’imprimante réseau
  • Système de messagerie
  • Messages générés en interne par syslogd
  • Sous-système d’informations réseau
  • Protocole Network Time Protocol
  • Messages aléatoires de niveau utilisateur
  • Messages de sécurité/d’autorisation
  • Messages de sécurité/d’autorisation (privés)
  • Daemons système
  • Sous-système UUCP

Retrouvez plus de renseignements sur la sortie syslog standard sur Entrées Syslog.

Filtrage

Nous filtrons les alertes comme suit :

Autoriser

CEF valide

Annuler

Description

Ces entrées sont classées comme des événements non liés à la sécurité selon les commentaires de notre équipe d’analystes MDR. Ils comprennent principalement les activités VPN de routine, les opérations réseau standard et les messages système automatisés qui sont répétitifs et généralement non critiques, de sorte que la journalisation n’est pas nécessaire.

Modèles Regex (expressions régulières)

  • msg=Connection dropped
  • msg=Delete notification received for .* SPI
  • \\|File-Filtering-Policy_Buffering-Limit-Exceeded\\|
  • \\|FW_New-SSL-VPN-Connection\\|
  • msg=IPsec SA Import succeeded
Exemples
  • msg=IPsec SA initiator done. Rekeyed SPI: .* Encryption:.*, mac:.*
  • msg=IPsec SA responder done
  • msg=IKE SA deleted
  • msg=IKEv2 SA error: Timed out
  • msg=IKEv2 SA initiator failed, Local auth method: Reserved, Remote auth method: Reserved
  • msg=IPsec SA initiator error: Timed out
  • msg=Message type ack. XID: .* Relay ip .* Server ID: .* DNS: .* DNS: .* Domain: .*
  • msg=Message type offer. XID: .* Relay ip .* Server ID: .* DNS: .* DNS: .* Domain: .*
  • msg=Sending Dead Peer Detection notify \\(.*\\)
  • msg=Starting IKEv2 initiator negotiation
  • \\|TCP_Option-Unknown\\|
  • \\|URL_Category-Accounting\\|
  • msg=New engine upgrades available on Forcepoint web site: Engine upgrades NGFW upgrade .* build \\d+ for .*
  • \\|TCP_Segment-SYN-No-Options\\|
  • msg=Connection was reset by client
  • \\|FW_New-Route-Based-VPN-Connection\\|0\\|.* act=Discard
  • \\|TCP_Checksum-Mismatch\\|
  • msg=Notifications: N\\(HTTP_CERT_LOOKUP_SUPPORTED\\), N\\(MESSAGE_ID_SYNC_SUPPORTED\\), N\\(ESP_TFC_PADDING_NOT_SUPPORTED\\), N\\(NON_FIRST_FRAGMENTS_ALSO\\)
  • \\|FW_New-IPsec-VPN-Connection\\|
  • \\|FW_Related-Connection\\|
  • \\|Connection_Progress\\|
  • msg=Connection was reset by server
  • msg=Connection timeout in state TCP_SYN_SEEN
  • \\|Connection_Rematched\\|
  • \\|Connection_Allowed\\|
  • \\|Connection_Discarded\\|
  • \\|Connection_Closed\\|
  • \\|Log_Compress-SIDs\\|
  • act=Allow msg=Referred connection
  • \\|FW_New-Route-Based-VPN-Connection\\|0\\|.* act=Allow
  • \\|HTTP_URL-Logged\\|1\\|.* act=Permit
  • msg=Message type \\w+. XID: .*. Relay ip .*. Relayed to .*
  • \\|Generic\\|0\\|.*msg=Rekeyed IPsec SA installed. Inbound
  • msg=HISTORY: PID\\W+\\d+ UID\\W+\\d+ USER\\W+\\w+
  • msg=\\[I\\]\\[.*\\] Gid map: inside_gid:\\d+ outside_gid:\\d+ count:\\d+
  • msg=\\[I\\]\\[.*\\] Jail parameters
  • msg=\\[I\\]\\[.*\\] Uid map: inside_uid:\\d+ outside_uid:\\d+ count:\\d+
  • msg=\\[I\\]\\[.*\\] pid\\W+\\d+ \\(\\[STANDALONE MODE\\]\\) exited with status: \\d+, \\(PIDs left: \\d+\\)
  • msg=\\[I\\]\\[.*\\] Mount: .* flags:.* type:.* options:.* dir:.*
  • \\|DNS_Client-Type-Unknown\\|2\\|.* act=Permit
  • \\|File_Allowed\\|1\\|.* act=Permit
  • \\|HTTP_Request-with-redirect-capability\\|1\\|
  • \\|FW_Info-Request\\|0\\|
  • \\|Generic\\|0\\|.*msg=\\[\\d+\\.\\d+\\].*

Exemples de mappages de menaces

"alertType": "Mirai.Botnet", "threatId": "T1498", "threatName": "Network Denial of Service",
"alertType": "WIFICAM.P2P.GoAhead.Multiple.Remote.Code.Execution", "threatId": "T1203", "threatName": "Exploitation for Client Execution",
"alertType": "TCP.Split.Handshake", "threatId": "T1082", "threatName": "System Information Discovery",
"alertType": "WePresent.WiPG1000.Command.Injection", "threatId": "T1203", "threatName": "Exploitation for Client Execution",
"alertType": "Open.Flash.Chart.PHP.File.Upload", "threatId": "T1105", "threatName": "Ingress Tool Transfer",

Documentation fournisseur