Panoramica dell’integrazione Cisco Firepower
Cisco Firepower è una soluzione firewall che sfrutta opzioni di sensibilità contestuale in tempo reale per offrire la combinazione ottimale tra protezione contro le minacce avanzate, prevenzione delle intrusioni e firewall next-gen, tutto in un’unica piattaforma integrata.
Documenti Sophos
Integrazione di Cisco Firepower
I dati raccolti e inseriti
Esempi di avvisi visualizzati da Sophos:
INDICATOR-COMPROMISEMALWARE-CNC Win.Trojan.Njrat variant outbound connectionINDICATOR-SCAN SSH brute force login attemptPROTOCOL-SCADA Moxa discovery packet information disclosure attemptSERVER-WEBAPP Kibana Console for Elasticsearch local file inclusion attemptFILE-PDF TRUFFLEHUNTER TALOS-2017-0505 attack attemptSQL generic convert injection attempt - GET parameterExecutable Code was DetectedAPP-DETECT Steam game URI handlerSERVER-APACHE Apache Struts remote code execution attemptW32.975C0D48C4.RET.SBX.TG
Avvisi inseriti per intero
Sophos acquisisce e inserisce avvisi di sicurezza. Devono contenere Message: o ThreatName: nel syslog.
Questi avvisi vengono poi mappati alla versione 8 del Framework MITRE.
Filtraggio
Acquisiamo e inseriamo solo avvisi correlati a eventi di sicurezza. Devono contenere i campi Message: o ThreatName: nel syslog.
Vedere: Cisco Secure Firewall Threat Defense: Security Event Syslog Messages
Esempi di mapping delle minacce
Il tipo di avviso viene definito come segue:
Se il campo message esiste, sanificarlo e utilizzarlo. In caso contrario, utilizzare il campo ThreatName.
{"alertType": "(ftp_server) FTP traffic encrypted", "threatId": "T1027", "threatName": "Obfuscated Files or Information"}
{"alertType": "PSNG_UDP_FILTERED_DISTRIBUTED_PORTSCAN", "threatId": "T1046", "threatName": "Network Service Scanning"}
{"alertType": "Misc Activity", "threatId": "TA0043", "threatName": "Reconnaissance"}