コンテンツにスキップ
MDR のサポート提供の詳細をご確認ください。

Barracuda CloudGen の統合

Barracuda CloudGen を Sophos Central と統合して、解析のためにソフォスに警告を送信することができます。

このページでは、統合の概要を説明します。

Barracuda CloudGen の概要

Barracuda CloudGen Firewall は、クラウドおよびハイブリッドネットワーク向けの包括的なセキュリティソリューションを提供します。ファイアウォールにより、サイト間の接続性が向上し、クラウドでホストされているアプリケーションへの中断のないアクセスが可能になります。高度な脅威対策やグローバルインテリジェンスネットワークなどの多層防御を備えた Barracuda は、ランサムウェアやゼロデイ攻撃などの多様なサイバー脅威に対するリアルタイムの保護を提供します。物理環境とクラウド環境に展開可能で、シームレスな接続を実現する統合 SD-WAN 機能と、導入の簡素化と包括的なネットワーク可視性を実現する一元管理ツールを提供します。

ソフォス製品ドキュメント

Barracuda CloudGen の統合

取り込まれる内容

ソフォスで表示される警告の例:

  • Login from IP_ADDRESS: Denied: Firewall Rule RULE
  • rolled out network relevant configuration files
  • Load Config from FILE
  • Plug and Play ACPI device, ID (active)
  • starting vpn client
  • FW UDP Connection Limit Exceeded
  • FW Rule Warning
  • FW Flood Ping Protection Activated

完全に取り込まれる警告

Barracuda CloudGen ファイアウォールからの Detailed Firewall Reporting syslog 出力を設定することをお勧めしますが、これは重要なフィルタリングの対象となるため、有用なセキュリティ警告のみを処理するようになります。

大半の警告は正規表現で標準化されています。

フィルタリング

現在、最も報告の多い内容への警告をフィルタリングしています。フィルタリングには次のものが含まれます。

  • UDP-NEW\\(Normal Operation,0\\)
  • Session Idle Timeout
  • \\[Request\\] Allow
  • \\[Request\\] Remove
  • \\[Sync\\] Changed: Transport
  • Session PHS: Authentication request from user
  • Tunnel has now one working transport
  • Session -------- Tunnel
  • Abort TCP transport
  • Info CHHUNFWHQ-01 Session
  • : Accounting LOGIN
  • State: REM\\(Unreachable Timeout,20\\)
  • read failed\\(IOStreamSock: Receive\\(\\) end of file\\) closing connection
  • DH attributes found in request, generating new key
  • \\[Sync\\] Changed: Checking Transports
  • State: UDP-FAIL\\(Port Unreachable,3\\)
  • DH key agreement successful
  • Request Timeout \\(HandshakeRequest ReqState=Init RepState=Init\\) -> terminate session
  • \\[Sync\\] Local: Update Transport
  • send fast reply
  • \\[Sync\\] Session Command
  • \\[HASYNC\\] update
  • Transport .* State changed to
  • Accounting LOGOUT
  • TCP.*close on command
  • Rule: Authentication Login
  • Rule: Authentication Logout
  • Error.*Request Timeout
  • Info.*Delete Transport
  • Info.*\\[HASYNC\\]
  • Notice.*\\[HASYNC\\]
  • Warning.*Tunnel Heartbeat failed
  • Info.*Worker Process.*timeout
  • Error.*Operation: Poll.*Timeout
  • Info.*\\(New Request
  • Info.*\\(Normal Operation

脅威マッピングの例

脅威マッピングに fields.message を使用するか、標準イベントの種類の info フィールドからコードを検索します。セキュリティイベントを参照してください。

"alertType": "=> searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.message"

サンプル:

{"alertType": "Number of child processes automatically set to N based on number of CPU cores and size of RAM", "threatId": "T1057", "threatName": "Process Discovery"}
{"alertType": "found no explicit phase1 aggressive configuration in IP_ADDRESS for client", "threatId": "T1573", "threatName": "Encrypted Channel"}

ベンダーのドキュメント