コンテンツにスキップ
MDR のサポート提供の詳細をご確認ください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=checkpoint-overview

Check Point Quantum Firewall 統合

ログコレクタ ファイアウォール

Check Point Quantum Firewall を Sophos Central と統合して、ソフォスでの解析用に監査データを送信することができます。

このページでは、統合の概要を説明します。

Check Point Quantum Firewall 製品の概要

Check Point の ITP ファイアウォールは、IT インフラ全体にわたって包括的な脅威保護を提供するように設計された統合セキュリティソリューションです。リアルタイムの脅威インテリジェンスと高度な防御テクノロジーを活用して、既知の脅威と新たな脅威の両方に対してネットワークの安全性を確保します。

ソフォス製品ドキュメント

Check Point Quantum Firewall の統合

取り込まれる内容

ソフォスで表示される警告の例:

  • Streaming Engine: TCP anomaly detected
  • Malformed Packet
  • SSL Enforcement Violation
  • Backdoor.WIN32.Zegost.A
  • Trojan.Win32.HackerDefender.A
  • Malware.TC.268bRWCT
  • Phishing.RS.TC.29f5jdTi
  • SYN Attack
  • Virus.WIN32.Sality.DY
  • Microsoft Exchange Server Remote Code Execution
  • Network Denial of Service Based Attack Detected on Connection
  • Nostromo Web Server Directory Traversal (CVE-2019-16278)

フィルタリング

メッセージは次のようにフィルタリングされます。

  • 有効な Common Event Format (CEF) を使用する警告のみを許可しています。

脅威マッピングの例

警告の種類を判別するために、警告の分類とそれに含まれるフィールドに応じて、これらのフィールドのいずれかを使用します。

  • cef.deviceEventClassID
  • cef.name
  • msg
  • product 
    "value": "=> is(fields.product, 'SmartDefense') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Attack Information') && !is(fields.flexString2, 'Other') ? searchRegexList(fields.flexString2, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.flexString2, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.flexString2 : is(fields.product, 'Application Control') ? cef.deviceEventClassID : is(fields.product, 'New Anti Virus') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Malware Action') && !is(fields.flexString2, 'Other') ? fields.flexString2 : is(fields.product, 'Anti Malware') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Malware Action') && !is(fields.flexString2, 'Other') ? fields.flexString2 : is(fields.product, 'New Anti Virus') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Malware Action') && is(fields.flexString2, 'Other') ? cef.name : is(fields.product, 'Anti Malware') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Malware Action') && is(fields.flexString2, 'Other') ? cef.name : !isEmpty(fields.msg) ? searchRegexList(fields.msg, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.msg, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.msg : !isEmpty(fields.product) ? fields.product : undefined"

マッピングの例:

{"alertType": "Extracted files name: NAME Extracted files type: TYPE Extracted files sha1: SHA Extracted files verdict: VERDICT", "threatId": "T1598.002", "threatName": "Spearphishing Attachment"}
{"alertType": "Gallery search engine cross-site scripting", "threatId": "T1189", "threatName": "Drive-by Compromise"}
{"alertType": "Address spoofing", "threatId": "T1036", "threatName": "Masquerading"}

ベンダーのドキュメント

Logging and Monitoring R80.30 Administration Guide