コンテンツにスキップ
MDR のサポート提供の詳細をご確認ください。

Palo Alto PAN-OS の統合

Palo Alto PAN-OS を Sophos Central と統合して、解析のためにソフォスに警告を送信することができます。

このページでは、統合の概要を説明します。

Palo Alto PAN-OS 製品の概要

Palo Alto Networks の Panorama PAN-OS は、ファイアウォール導入全体にわたってグローバルな可視性、ポリシー制御、ワークフローの自動化をユーザーに提供する一元化されたセキュリティ管理システムです。これは、ネットワークセキュリティに対する包括的なアプローチであり、一貫したカバレッジとリアルタイムの脅威インテリジェンスを保証します。

ソフォス製品ドキュメント

Palo Alto PAN-OS の統合

取り込まれる内容

ThreatWildFire Submission、および Global Protect のログと Traffic ログのサブセットを取り込みます。

ソフォスで表示される警告の例:

  • Spring Boot Actuator H2 Remote Code Execution Vulnerability (93279)
  • RealNetworks RealPlayer URL Parsing Stack Buffer Overflow Vulnerability (37255)
  • Dahua Security DVR Appliances Authentication Bypass Vulnerability (38926)
  • Microsoft Windows NTLMSSP Detection (92322)
  • Compromised username and/or password from previous data breach in inbound FTP login (SIGNATURE)

完全に取り込まれる警告

ログ転送の設定に関する推奨事項については、 Palo Alto PAN-OS の統合を参照してください。

フィルタリング

ログは次のようにフィルタリングされます。

エージェントフィルタ

  • 有効な CEF を許可します。
  • トラフィックログをドロップします。

プラットフォームフィルタ

  • 確認済みのさまざまなメッセージやセキュリティ関連以外のメッセージやログをドロップします。
  • DNS 要求ログをドロップします。
  • 一部の VPN ログをドロップします。
  • benign として分類された Wildfire ログをドロップします 。
  • 大量および価値が低いと指定されたさまざまなメッセージをドロップします。

脅威マッピングの例

警告の種類を判別するには、警告の分類とそれに含まれるフィールドに応じて、これらのフィールドのいずれかを使用します。

  • cef.deviceEventClassID
  • PanOSThreatCategory
"value": "=> !isEmpty(fields.cat) && !is(fields.cat, 'vulnerability') ? searchRegexList(fields.cat, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.cat, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.cat : !isEmpty(fields.cat) && is(fields.cat, 'vulnerability') ? searchRegexList(cef.deviceEventClassID, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) ?searchRegexList(cef.deviceEventClassID, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) : cef.deviceEventClassID : isEmpty(fields.cat) && !isEmpty(fields.PanOSThreatCategory) ? fields.PanOSThreatCategory : undefined",

マッピングの例:

{"alertType": "Apache Log4j Remote Code Execution Vulnerability(N)", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "RealVNC VNC Server ClientCutText Message Memory Corruption Vulnerability(33672)", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "DOCX With Attached Templates In Multiple Attacks(86646)", "threatId": "T1221", "threatName": "Template Injection"}
{"alertType": "Generic Cross-Site Scripting Vulnerability(94093)", "threatId": "T1189", "threatName": "Drive-by Compromise"}
{"alertType": "Fastflux:DOMAIN(N)", "threatId": "T1036", "threatName": "Masquerading"}
{"alertType": "Virus.ramnit:lfjyaf.com(121569082)", "threatId": "TA0002", "threatName": "Execution"}
{"alertType": "OpenSSL SSL_check_chain NULL Pointer Dereference Vulnerability(58033)"  "threatId": "T1573", "threatName": "Encrypted Channel"}
{"alertType": "Microsoft Office File Embedded in PDF File Detection(86796)", "threatId": "T1204.002", "threatName": "Malicious File"}

ベンダーのドキュメント

ログ転送の設定