Forcepoint 統合
Forcepoint 次世代ファイアウォール (NGFW) を Sophos Central と統合して、ソフォスでの解析用に警告を送信することができます。
このページでは、統合の概要を説明します。
Forcepoint 製品の概要
Forcepoint 次世代ファイアウォール (NGFW) は、ネットワークトラフィックの可視性、制御、コンテキスト分析を提供する高度なメカニズムを採用することで機能し、セキュリティポリシーと防御を動的に調整できます。高度なテクノロジーとユーザー中心のアプローチを活用することで、ファイアウォールは強力な脅威の防止と検出を促進し、組織の資産、データ、ネットワークインフラを保護します。
ソフォス製品ドキュメント
取り込まれる内容
表示される警告の例:
- China.Chopper.Web.Shell.Client.Connection
- Easy.Hosting.Control.Panel.FTP.Account.Security.Bypass
- HTTP.URI.SQL.Injection
- Malicious.HTTP.URI.Requests
- Joomla!.com_fields.SQL.Injection
完全に取り込まれる警告
Forcepoint からの標準 syslog 出力を設定することを推奨します。この出力には、次の項目が含まれます。
- Clock daemon for BSD systems
- Clock daemon for System V systems
- File transfer protocol
- Kernel messages
- Line printer subsystem
- Mail system
- Messages generated internally by syslogd
- Network news subsystem
- Network time protocol
- Random user-level messages
- Security/authorization messages
- Security/authorization messages (private)
- System daemons
- UUCP subsystem
標準 syslog 出力については、Syslog エントリを参照してください。
フィルタリング
警告は次のようにフィルタリングされます。
許可
有効な CEF
破棄
説明
これらのエントリは、MDR アナリストチームからのフィードバックに基づいて、セキュリティ関連以外のイベントとして分類されます。主に、定期的な VPN アクティビティ、標準的なネットワーク操作、自動化されたシステムメッセージが含まれます。これらのメッセージは反復的で一般的に重要ではないため、ログ記録は必要ありません。
正規表現パターン
msg=Connection dropped
msg=Delete notification received for .* SPI
\\|File-Filtering-Policy_Buffering-Limit-Exceeded\\|
\\|FW_New-SSL-VPN-Connection\\|
msg=IPsec SA Import succeeded
例
msg=IPsec SA initiator done. Rekeyed SPI: .* Encryption:.*, mac:.*
msg=IPsec SA responder done
msg=IKE SA deleted
msg=IKEv2 SA error: Timed out
msg=IKEv2 SA initiator failed, Local auth method: Reserved, Remote auth method: Reserved
msg=IPsec SA initiator error: Timed out
msg=Message type ack. XID: .* Relay ip .* Server ID: .* DNS: .* DNS: .* Domain: .*
msg=Message type offer. XID: .* Relay ip .* Server ID: .* DNS: .* DNS: .* Domain: .*
msg=Sending Dead Peer Detection notify \\(.*\\)
msg=Starting IKEv2 initiator negotiation
\\|TCP_Option-Unknown\\|
\\|URL_Category-Accounting\\|
msg=New engine upgrades available on Forcepoint web site: Engine upgrades NGFW upgrade .* build \\d+ for .*
\\|TCP_Segment-SYN-No-Options\\|
msg=Connection was reset by client
\\|FW_New-Route-Based-VPN-Connection\\|0\\|.* act=Discard
\\|TCP_Checksum-Mismatch\\|
msg=Notifications: N\\(HTTP_CERT_LOOKUP_SUPPORTED\\), N\\(MESSAGE_ID_SYNC_SUPPORTED\\), N\\(ESP_TFC_PADDING_NOT_SUPPORTED\\), N\\(NON_FIRST_FRAGMENTS_ALSO\\)
\\|FW_New-IPsec-VPN-Connection\\|
\\|FW_Related-Connection\\|
\\|Connection_Progress\\|
msg=Connection was reset by server
msg=Connection timeout in state TCP_SYN_SEEN
\\|Connection_Rematched\\|
\\|Connection_Allowed\\|
\\|Connection_Discarded\\|
\\|Connection_Closed\\|
\\|Log_Compress-SIDs\\|
act=Allow msg=Referred connection
\\|FW_New-Route-Based-VPN-Connection\\|0\\|.* act=Allow
\\|HTTP_URL-Logged\\|1\\|.* act=Permit
msg=Message type \\w+. XID: .*. Relay ip .*. Relayed to .*
\\|Generic\\|0\\|.*msg=Rekeyed IPsec SA installed. Inbound
msg=HISTORY: PID\\W+\\d+ UID\\W+\\d+ USER\\W+\\w+
msg=\\[I\\]\\[.*\\] Gid map: inside_gid:\\d+ outside_gid:\\d+ count:\\d+
msg=\\[I\\]\\[.*\\] Jail parameters
msg=\\[I\\]\\[.*\\] Uid map: inside_uid:\\d+ outside_uid:\\d+ count:\\d+
msg=\\[I\\]\\[.*\\] pid\\W+\\d+ \\(\\[STANDALONE MODE\\]\\) exited with status: \\d+, \\(PIDs left: \\d+\\)
msg=\\[I\\]\\[.*\\] Mount: .* flags:.* type:.* options:.* dir:.*
\\|DNS_Client-Type-Unknown\\|2\\|.* act=Permit
\\|File_Allowed\\|1\\|.* act=Permit
\\|HTTP_Request-with-redirect-capability\\|1\\|
\\|FW_Info-Request\\|0\\|
\\|Generic\\|0\\|.*msg=\\[\\d+\\.\\d+\\].*
脅威マッピングの例
"alertType": "Mirai.Botnet", "threatId": "T1498", "threatName": "Network Denial of Service",
"alertType": "WIFICAM.P2P.GoAhead.Multiple.Remote.Code.Execution", "threatId": "T1203", "threatName": "Exploitation for Client Execution",
"alertType": "TCP.Split.Handshake", "threatId": "T1082", "threatName": "System Information Discovery",
"alertType": "WePresent.WiPG1000.Command.Injection", "threatId": "T1203", "threatName": "Exploitation for Client Execution",
"alertType": "Open.Flash.Chart.PHP.File.Upload", "threatId": "T1105", "threatName": "Ingress Tool Transfer",