Integrazione Ubiquiti UniFi
Ubiquiti UniFi può essere integrato con Sophos Central per l’invio di avvisi a Sophos, a scopo di analisi.
Questa pagina fornisce una panoramica dell’integrazione.
Panoramica di Ubiquiti UniFi
Ubiquiti UniFi Gateway gestisce e monitora il traffico di rete. Applica regole e criteri predefiniti per rafforzare il perimetro di sicurezza delle reti aziendali. Poiché utilizza una piattaforma centralizzata, Ubiquiti Firewall rende più semplice ed efficiente l’amministrazione delle configurazioni per la protezione della rete, difendendo i dispositivi connessi e i dati trasmessi da potenziali vulnerabilità e attacchi.
Documenti Sophos
I dati raccolti e inseriti
I messaggi syslog security-detection-uuid generati dai dispositivi gateway Ubiquiti UniFi, inclusi i seguenti modelli:
- USG
- UXG
- UDM
Filtraggio
Filtriamo gli avvisi nel modo indicato di seguito:
- Vengono eliminati gli avvisi che non hanno un formato CEF valido.
- Vengono eliminati gli avvisi che non provengono dalla funzionalità IDS/IPS (Rilevamento e prevenzione delle intrusioni).
Esempi di mapping delle minacce
{"alertType": "ET SCAN MS Terminal Server Traffic on Non-standard Port", "threatId": "T1571", "threatName": "Non-Standard Port"}
{"alertType": "USERNAME made changes to DEVICENAME DEVICE.", "threatId": "T1562.004", "threatName": "Impair Defenses: Disable or Modify System Firewall"}
{"alertType": "ET DROP Dshield Block Listed Source group 1", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "ET SCAN Zmap User-Agent (Inbound)", "threatId": "T1046", "threatName": "Network Service Scanning"}
Documentazione del vendor
- UniFi Gateway - Rilevamento e prevenzione delle intrusioni (IDS/IPS)
- UDM SE - Avvisi di rilevamento delle minacce