Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=sonicwall-overview

Integrazione SonicWall SonicOS

Agente di raccolta log Firewall

SonicWall SonicOS può essere integrato con Sophos Central in modo da inviare avvisi a Sophos, a scopo di analisi.

Questa pagina fornisce una panoramica dell’integrazione.

Panoramica del prodotto SonicWall SonicOS

SonicWall offre una piattaforma automatizzata per il rilevamento e la prevenzione delle minacce in tempo reale. Adotta un approccio basato su una sandbox a più motori, in grado di bloccare le minacce a livello del gateway, garantendo così maggiore continuità aziendale ed efficienza nella rete.

Documenti Sophos

Integrazione di SonicWall SonicOS

I dati raccolti e inseriti

Esempi di avvisi visualizzati da Sophos:

  • ICMP PING CyberKit
  • INFO Telerik.Web.UI.WebResource.axd Access
  • Initial Aggressive Mode Completed
  • User Login Timeout
  • VPN Policy Enabled/Disabled
  • WEB-ATTACKS Apache Struts OGNL Expression Language Injection
  • WEB-ATTACKS Cross Web Server Remote Code Execution
  • WEB-ATTACKS Crystal Reports Web Viewer Information Disclosure
  • DNS Rebind Attack Blocked
  • IoT-ATTACKS Cisco Adaptive Security Appliance XSS
  • IoT-ATTACKS Axis IP Camera Authentication Bypass

Filtraggio

Filtriamo i messaggi nel modo indicato di seguito:

  • Vengono AUTORIZZATI gli avvisi che utilizzano un formato Common Event Format (CEF) valido.
  • Applichiamo filtri di RILASCIO di Livello 20 per rimuovere messaggi ad alto volume ma basso valore.

Esempi di mapping delle minacce

Per determinare il tipo di avviso, viene utilizzato uno di questi campi, a seconda della classificazione degli avvisi e dei campi che include.

  • ipscat
  • spycat

In alternativa, utilizzeremo cef.name come fallback.

"value": "=> !isEmpty(fields.ipscat) ? searchRegexList(trim(replace( fields.ipscat, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(trim(replace( fields.ipscat, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : trim(replace( fields.ipscat, /\\\\*\"/g, '')) : !isEmpty(fields.spycat) ? searchRegexList(trim(replace( fields.spycat, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(trim(replace( fields.spycat, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : trim(replace( fields.spycat, /\\\\*\"/g, '')) : !isEmpty(cef.name) ? searchRegexList(trim(replace( cef.name, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(trim(replace( cef.name, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : trim(replace( cef.name, /\\\\*\"/g, '')) : undefined ",

Mapping di esempio:

{"alertType": "IP Spoof Detected", "threatId": "T1498", "threatName": "Network Denial of Service"}
{"alertType": "NTP Update Successful", "threatId": "T1547.003", "threatName": "Time Providers"}
{"alertType": "IPsec SA Added", "threatId": "T1552.004", "threatName": "Private Keys"}

Documentazione del vendor