Aller au contenu
Découvrez comment nous prenons en charge MDR.

Intégration Palo Alto PAN-OS

Vous pouvez intégrer Palo Alto PAN-OS à Sophos Central pour lui permettre d’envoyer des alertes à Sophos pour analyse.

Cette page vous donne une vue générale de l’intégration.

Présentation du produit Palo Alto PAN-OS

Panorama PAN-OS de Palo Alto Networks est un système centralisé de gestion de la sécurité qui offre aux utilisateurs une visibilité globale, un contrôle des stratégies et une automatisation des flux de travail sur l’ensemble de leur déploiement de pare-feu. Il s’agit d'une approche holistique de la sécurité réseau, garantissant une couverture cohérente et une collecte de renseignements sur les menaces en temps réel.

Documents Sophos

Intégrer Palo Alto PAN-OS

Ce que nous ingérons

Nous ingérons les journaux Threat, WildFire Submission et Global Protect et un sous-ensemble de journaux Traffic.

Exemples d’alertes vues par Sophos :

  • Spring Boot Actuator H2 Remote Code Execution Vulnerability (93279)
  • RealNetworks RealPlayer URL Parsing Stack Buffer Overflow Vulnerability (37255)
  • Dahua Security DVR Appliances Authentication Bypass Vulnerability (38926)
  • Microsoft Windows NTLMSSP Detection (92322)
  • Nom d’utilisateur et/ou mot de passe compromis suite à une violation de données précédente dans la connexion FTP entrante (SIGNATURE)

Alertes ingérées dans leur intégralité

Pour obtenir nos recommandations sur la configuration de la transmission des journaux, consultez Intégrer Palo Alto PAN-OS.

Filtrage

Nous filtrons les journaux comme suit :

Filtre d’agent

  • Nous AUTORISONS un CEF valide.
  • Nous INJECTONS les journaux de trafic.

Filtre de plate-forme

  • Nous INJECTONS divers messages et journaux révisés et non liés à la sécurité.
  • Nous INJECTONS les journaux de requêtes DNS.
  • Nous INJECTONS certains journaux VPN.
  • Nous INJECTONS les journaux Wildfire classés comme benign.
  • Nous INJECTONS des messages spécifiques de volume élevé et de faible valeur.

Exemples de mappages de menaces

Pour déterminer le type d’alerte, nous utilisons l’un de ces champs, en fonction de la classification de l’alerte et des champs qu’elle contient.

  • cef.deviceEventClassID
  • PanOSThreatCategory
"value": "=> !isEmpty(fields.cat) && !is(fields.cat, 'vulnerability') ? searchRegexList(fields.cat, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.cat, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.cat : !isEmpty(fields.cat) && is(fields.cat, 'vulnerability') ? searchRegexList(cef.deviceEventClassID, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) ?searchRegexList(cef.deviceEventClassID, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) : cef.deviceEventClassID : isEmpty(fields.cat) && !isEmpty(fields.PanOSThreatCategory) ? fields.PanOSThreatCategory : undefined",

Exemples de mappages :

{"alertType": "Apache Log4j Remote Code Execution Vulnerability(N)", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "RealVNC VNC Server ClientCutText Message Memory Corruption Vulnerability(33672)", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "DOCX With Attached Templates In Multiple Attacks(86646)", "threatId": "T1221", "threatName": "Template Injection"}
{"alertType": "Generic Cross-Site Scripting Vulnerability(94093)", "threatId": "T1189", "threatName": "Drive-by Compromise"}
{"alertType": "Fastflux:DOMAIN(N)", "threatId": "T1036", "threatName": "Masquerading"}
{"alertType": "Virus.ramnit:lfjyaf.com(121569082)", "threatId": "TA0002", "threatName": "Execution"}
{"alertType": "OpenSSL SSL_check_chain NULL Pointer Dereference Vulnerability(58033)"  "threatId": "T1573", "threatName": "Encrypted Channel"}
{"alertType": "Microsoft Office File Embedded in PDF File Detection(86796)", "threatId": "T1204.002", "threatName": "Malicious File"}

Documentation fournisseur

Configurer le transfert des journaux