Barracuda CloudGen の統合
Barracuda CloudGen を Sophos Central と統合して、解析のためにソフォスに警告を送信することができます。
このページでは、統合の概要を説明します。
Barracuda CloudGen の概要
Barracuda CloudGen Firewall は、クラウドおよびハイブリッドネットワーク向けの包括的なセキュリティソリューションを提供します。ファイアウォールにより、サイト間の接続性が向上し、クラウドでホストされているアプリケーションへの中断のないアクセスが可能になります。高度な脅威対策やグローバルインテリジェンスネットワークなどの多層防御を備えた Barracuda は、ランサムウェアやゼロデイ攻撃などの多様なサイバー脅威に対するリアルタイムの保護を提供します。物理環境とクラウド環境に展開可能で、シームレスな接続を実現する統合 SD-WAN 機能と、導入の簡素化と包括的なネットワーク可視性を実現する一元管理ツールを提供します。
ソフォス製品ドキュメント
取り込まれる内容
ソフォスで表示される警告の例:
Login from IP_ADDRESS: Denied: Firewall Rule RULE
rolled out network relevant configuration files
Load Config from FILE
Plug and Play ACPI device, ID (active)
starting vpn client
FW UDP Connection Limit Exceeded
FW Rule Warning
FW Flood Ping Protection Activated
完全に取り込まれる警告
Barracuda CloudGen ファイアウォールからの Detailed Firewall Reporting syslog 出力を設定することをお勧めしますが、これは重要なフィルタリングの対象となるため、有用なセキュリティ警告のみを処理するようになります。
大半の警告は正規表現で標準化されています。
フィルタリング
現在、最も報告の多い内容への警告をフィルタリングしています。フィルタリングには次のものが含まれます。
UDP-NEW\\(Normal Operation,0\\)
Session Idle Timeout
\\[Request\\] Allow
\\[Request\\] Remove
\\[Sync\\] Changed: Transport
Session PHS: Authentication request from user
Tunnel has now one working transport
Session -------- Tunnel
Abort TCP transport
Info CHHUNFWHQ-01 Session
: Accounting LOGIN
State: REM\\(Unreachable Timeout,20\\)
read failed\\(IOStreamSock: Receive\\(\\) end of file\\) closing connection
DH attributes found in request, generating new key
\\[Sync\\] Changed: Checking Transports
State: UDP-FAIL\\(Port Unreachable,3\\)
DH key agreement successful
Request Timeout \\(HandshakeRequest ReqState=Init RepState=Init\\) -> terminate session
\\[Sync\\] Local: Update Transport
send fast reply
\\[Sync\\] Session Command
\\[HASYNC\\] update
Transport .* State changed to
Accounting LOGOUT
TCP.*close on command
Rule: Authentication Login
Rule: Authentication Logout
Error.*Request Timeout
Info.*Delete Transport
Info.*\\[HASYNC\\]
Notice.*\\[HASYNC\\]
Warning.*Tunnel Heartbeat failed
Info.*Worker Process.*timeout
Error.*Operation: Poll.*Timeout
Info.*\\(New Request
Info.*\\(Normal Operation
脅威マッピングの例
脅威マッピングに fields.message を使用するか、標準イベントの種類の info フィールドからコードを検索します。セキュリティイベントを参照してください。
"alertType": "=> searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.message"
サンプル:
{"alertType": "Number of child processes automatically set to N based on number of CPU cores and size of RAM", "threatId": "T1057", "threatName": "Process Discovery"}
{"alertType": "found no explicit phase1 aggressive configuration in IP_ADDRESS for client", "threatId": "T1573", "threatName": "Encrypted Channel"}