Integrazione Barracuda CloudGen
Barracuda CloudGen può essere integrato con Sophos Central per l’invio di avvisi a Sophos, a scopo di analisi.
Questa pagina fornisce una panoramica dell’integrazione.
Panoramica di Barracuda CloudGen
Barracuda CloudGen Firewall offre soluzioni di sicurezza complete per le reti cloud e ibride. Il firewall migliora la connettività site-to-site e garantisce accesso ininterrotto alle applicazioni ospitate nel cloud. Grazie alle difese a più livelli (incluse protezione avanzata contro le minacce e reti di intelligence globale), Barracuda assicura protezione in tempo reale contro vari tipi di minacce informatiche, come i ransomware e gli attacchi zero-day. Il prodotto può essere distribuito sia in ambienti fisici che cloud e offre funzionalità SD-WAN integrate, per una connettività trasparente e utili strumenti di gestione centralizzata, che aiutano a semplificare la distribuzione e a garantire una visibilità completa sulla rete.
Documenti Sophos
Integrazione di Barracuda CloudGen
I dati raccolti e inseriti
Esempi di avvisi visualizzati da Sophos:
Login from IP_ADDRESS: Denied: Firewall Rule RULE
rolled out network relevant configuration files
Load Config from FILE
Plug and Play ACPI device, ID (active)
starting vpn client
FW UDP Connection Limit Exceeded
FW Rule Warning
FW Flood Ping Protection Activated
Avvisi inseriti per intero
Consigliamo di configurare l’output del syslog di Detailed Firewall Reporting dal firewall Barracuda CloudGen, ma questa opzione è soggetta a un livello di filtraggio significativo, che elabora solo gli avvisi di sicurezza utili.
La maggior parte degli avvisi è standardizzata con regex.
Filtraggio
Al momento filtriamo gli avvisi che contengono più informazioni superflue. I filtri includono:
UDP-NEW\\(Normal Operation,0\\)
Session Idle Timeout
\\[Request\\] Allow
\\[Request\\] Remove
\\[Sync\\] Changed: Transport
Session PHS: Authentication request from user
Tunnel has now one working transport
Session -------- Tunnel
Abort TCP transport
Info CHHUNFWHQ-01 Session
: Accounting LOGIN
State: REM\\(Unreachable Timeout,20\\)
read failed\\(IOStreamSock: Receive\\(\\) end of file\\) closing connection
DH attributes found in request, generating new key
\\[Sync\\] Changed: Checking Transports
State: UDP-FAIL\\(Port Unreachable,3\\)
DH key agreement successful
Request Timeout \\(HandshakeRequest ReqState=Init RepState=Init\\) -> terminate session
\\[Sync\\] Local: Update Transport
send fast reply
\\[Sync\\] Session Command
\\[HASYNC\\] update
Transport .* State changed to
Accounting LOGOUT
TCP.*close on command
Rule: Authentication Login
Rule: Authentication Logout
Error.*Request Timeout
Info.*Delete Transport
Info.*\\[HASYNC\\]
Notice.*\\[HASYNC\\]
Warning.*Tunnel Heartbeat failed
Info.*Worker Process.*timeout
Error.*Operation: Poll.*Timeout
Info.*\\(New Request
Info.*\\(Normal Operation
Esempi di mapping delle minacce
Se è presente, utilizziamo fields.message per i mapping delle minacce, altrimenti cerchiamo un codice nel campo info dei tipi di eventi standard. Vedere Eventi di sicurezza.
"alertType": "=> searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.message"
Campioni:
{"alertType": "Number of child processes automatically set to N based on number of CPU cores and size of RAM", "threatId": "T1057", "threatName": "Process Discovery"}
{"alertType": "found no explicit phase1 aggressive configuration in IP_ADDRESS for client", "threatId": "T1573", "threatName": "Encrypted Channel"}