Integrazione Forcepoint
Forcepoint Next-Generation Firewall (NGFW) può essere integrato con Sophos Central per l’invio di avvisi a Sophos, a scopo di analisi.
Questa pagina fornisce una panoramica dell’integrazione.
Panoramica del prodotto Forcepoint
Forcepoint Next-Generation Firewall (NGFW) agisce utilizzando sofisticati meccanismi in grado di offrire visibilità, controllo e analisi contestuali del traffico di rete, per rendere possibili le ottimizzazioni dinamiche di criteri di sicurezza e sistemi di difesa. Sfruttando la potenza di tecnologie avanzate e di un approccio incentrato sull’utente, il firewall semplifica il rilevamento e la prevenzione efficace delle minacce, proteggendo le risorse, i dati e l’infrastruttura di rete di un’organizzazione.
Documenti Sophos
I dati raccolti e inseriti
Esempi di avvisi che visualizziamo:
- China.Chopper.Web.Shell.Client.Connection
- Easy.Hosting.Control.Panel.FTP.Account.Security.Bypass
- HTTP.URI.SQL.Injection
- Malicious.HTTP.URI.Requests
- Joomla!.com_fields.SQL.Injection
Avvisi inseriti per intero
Si consiglia di configurare l’output di syslog standard da Forcepoint, che include i seguenti argomenti:
- Clock daemon per sistemi BSD
- Clock daemon per sistemi System V
- File Transfer Protocol
- Messaggi del kernel
- Sottosistema stampante di linea
- Sistema di posta elettronica
- Messaggi generati internamente da syslogd
- Sottosistema Network News
- Network Time Protocol
- Messaggi casuali a livello di utente
- Messaggi di sicurezza/autorizzazione
- Messaggi di sicurezza/autorizzazione (privati)
- Daemon di sistema
- Sottosistema UUCP
Per l’output di syslog standard, vedere le voci syslog.
Filtraggio
Filtriamo gli avvisi nel modo indicato di seguito.
Autorizza
CEF
valido
Rimozioni
Descrizione
Queste voci sono classificate come eventi non correlati alla sicurezza, in base al feedback del nostro team di analisti MDR. Includono principalmente attività VPN di routine, operazioni di rete standard e messaggi di sistema automatizzati che sono ripetitivi e generalmente non critici. Di conseguenza, la registrazione nei log non è necessaria.
Pattern regex
msg=Connection dropped
msg=Delete notification received for .* SPI
\\|File-Filtering-Policy_Buffering-Limit-Exceeded\\|
\\|FW_New-SSL-VPN-Connection\\|
msg=IPsec SA Import succeeded
Esempi
msg=IPsec SA initiator done. Rekeyed SPI: .* Encryption:.*, mac:.*
msg=IPsec SA responder done
msg=IKE SA deleted
msg=IKEv2 SA error: Timed out
msg=IKEv2 SA initiator failed, Local auth method: Reserved, Remote auth method: Reserved
msg=IPsec SA initiator error: Timed out
msg=Message type ack. XID: .* Relay ip .* Server ID: .* DNS: .* DNS: .* Domain: .*
msg=Message type offer. XID: .* Relay ip .* Server ID: .* DNS: .* DNS: .* Domain: .*
msg=Sending Dead Peer Detection notify \\(.*\\)
msg=Starting IKEv2 initiator negotiation
\\|TCP_Option-Unknown\\|
\\|URL_Category-Accounting\\|
msg=New engine upgrades available on Forcepoint web site: Engine upgrades NGFW upgrade .* build \\d+ for .*
\\|TCP_Segment-SYN-No-Options\\|
msg=Connection was reset by client
\\|FW_New-Route-Based-VPN-Connection\\|0\\|.* act=Discard
\\|TCP_Checksum-Mismatch\\|
msg=Notifications: N\\(HTTP_CERT_LOOKUP_SUPPORTED\\), N\\(MESSAGE_ID_SYNC_SUPPORTED\\), N\\(ESP_TFC_PADDING_NOT_SUPPORTED\\), N\\(NON_FIRST_FRAGMENTS_ALSO\\)
\\|FW_New-IPsec-VPN-Connection\\|
\\|FW_Related-Connection\\|
\\|Connection_Progress\\|
msg=Connection was reset by server
msg=Connection timeout in state TCP_SYN_SEEN
\\|Connection_Rematched\\|
\\|Connection_Allowed\\|
\\|Connection_Discarded\\|
\\|Connection_Closed\\|
\\|Log_Compress-SIDs\\|
act=Allow msg=Referred connection
\\|FW_New-Route-Based-VPN-Connection\\|0\\|.* act=Allow
\\|HTTP_URL-Logged\\|1\\|.* act=Permit
msg=Message type \\w+. XID: .*. Relay ip .*. Relayed to .*
\\|Generic\\|0\\|.*msg=Rekeyed IPsec SA installed. Inbound
msg=HISTORY: PID\\W+\\d+ UID\\W+\\d+ USER\\W+\\w+
msg=\\[I\\]\\[.*\\] Gid map: inside_gid:\\d+ outside_gid:\\d+ count:\\d+
msg=\\[I\\]\\[.*\\] Jail parameters
msg=\\[I\\]\\[.*\\] Uid map: inside_uid:\\d+ outside_uid:\\d+ count:\\d+
msg=\\[I\\]\\[.*\\] pid\\W+\\d+ \\(\\[STANDALONE MODE\\]\\) exited with status: \\d+, \\(PIDs left: \\d+\\)
msg=\\[I\\]\\[.*\\] Mount: .* flags:.* type:.* options:.* dir:.*
\\|DNS_Client-Type-Unknown\\|2\\|.* act=Permit
\\|File_Allowed\\|1\\|.* act=Permit
\\|HTTP_Request-with-redirect-capability\\|1\\|
\\|FW_Info-Request\\|0\\|
\\|Generic\\|0\\|.*msg=\\[\\d+\\.\\d+\\].*
Esempi di mapping delle minacce
"alertType": "Mirai.Botnet", "threatId": "T1498", "threatName": "Network Denial of Service",
"alertType": "WIFICAM.P2P.GoAhead.Multiple.Remote.Code.Execution", "threatId": "T1203", "threatName": "Exploitation for Client Execution",
"alertType": "TCP.Split.Handshake", "threatId": "T1082", "threatName": "System Information Discovery",
"alertType": "WePresent.WiPG1000.Command.Injection", "threatId": "T1203", "threatName": "Exploitation for Client Execution",
"alertType": "Open.Flash.Chart.PHP.File.Upload", "threatId": "T1105", "threatName": "Ingress Tool Transfer",