Vai al contenuto
Il supporto che offriamo per MDR.

Integrazione Barracuda CloudGen

Barracuda CloudGen può essere integrato con Sophos Central per l’invio di avvisi a Sophos, a scopo di analisi.

Questa pagina fornisce una panoramica dell’integrazione.

Panoramica di Barracuda CloudGen

Barracuda CloudGen Firewall offre soluzioni di sicurezza complete per le reti cloud e ibride. Il firewall migliora la connettività site-to-site e garantisce accesso ininterrotto alle applicazioni ospitate nel cloud. Grazie alle difese a più livelli (incluse protezione avanzata contro le minacce e reti di intelligence globale), Barracuda assicura protezione in tempo reale contro vari tipi di minacce informatiche, come i ransomware e gli attacchi zero-day. Il prodotto può essere distribuito sia in ambienti fisici che cloud e offre funzionalità SD-WAN integrate, per una connettività trasparente e utili strumenti di gestione centralizzata, che aiutano a semplificare la distribuzione e a garantire una visibilità completa sulla rete.

Documenti Sophos

Integrazione di Barracuda CloudGen

I dati raccolti e inseriti

Esempi di avvisi visualizzati da Sophos:

  • Login from IP_ADDRESS: Denied: Firewall Rule RULE
  • rolled out network relevant configuration files
  • Load Config from FILE
  • Plug and Play ACPI device, ID (active)
  • starting vpn client
  • FW UDP Connection Limit Exceeded
  • FW Rule Warning
  • FW Flood Ping Protection Activated

Avvisi inseriti per intero

Consigliamo di configurare l’output del syslog di Detailed Firewall Reporting dal firewall Barracuda CloudGen, ma questa opzione è soggetta a un livello di filtraggio significativo, che elabora solo gli avvisi di sicurezza utili.

La maggior parte degli avvisi è standardizzata con regex.

Filtraggio

Al momento filtriamo gli avvisi che contengono più informazioni superflue. I filtri includono:

  • UDP-NEW\\(Normal Operation,0\\)
  • Session Idle Timeout
  • \\[Request\\] Allow
  • \\[Request\\] Remove
  • \\[Sync\\] Changed: Transport
  • Session PHS: Authentication request from user
  • Tunnel has now one working transport
  • Session -------- Tunnel
  • Abort TCP transport
  • Info CHHUNFWHQ-01 Session
  • : Accounting LOGIN
  • State: REM\\(Unreachable Timeout,20\\)
  • read failed\\(IOStreamSock: Receive\\(\\) end of file\\) closing connection
  • DH attributes found in request, generating new key
  • \\[Sync\\] Changed: Checking Transports
  • State: UDP-FAIL\\(Port Unreachable,3\\)
  • DH key agreement successful
  • Request Timeout \\(HandshakeRequest ReqState=Init RepState=Init\\) -> terminate session
  • \\[Sync\\] Local: Update Transport
  • send fast reply
  • \\[Sync\\] Session Command
  • \\[HASYNC\\] update
  • Transport .* State changed to
  • Accounting LOGOUT
  • TCP.*close on command
  • Rule: Authentication Login
  • Rule: Authentication Logout
  • Error.*Request Timeout
  • Info.*Delete Transport
  • Info.*\\[HASYNC\\]
  • Notice.*\\[HASYNC\\]
  • Warning.*Tunnel Heartbeat failed
  • Info.*Worker Process.*timeout
  • Error.*Operation: Poll.*Timeout
  • Info.*\\(New Request
  • Info.*\\(Normal Operation

Esempi di mapping delle minacce

Se è presente, utilizziamo fields.message per i mapping delle minacce, altrimenti cerchiamo un codice nel campo info dei tipi di eventi standard. Vedere Eventi di sicurezza.

"alertType": "=> searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.message"

Campioni:

{"alertType": "Number of child processes automatically set to N based on number of CPU cores and size of RAM", "threatId": "T1057", "threatName": "Process Discovery"}
{"alertType": "found no explicit phase1 aggressive configuration in IP_ADDRESS for client", "threatId": "T1573", "threatName": "Encrypted Channel"}

Documentazione del vendor