SonicWall SonicOS 統合
SonicWall SonicOS を Sophos Central と統合して、ソフォスでの解析用に警告を送信することができます。
このページでは、統合の概要を説明します。
SonicWall SonicOS 製品の概要
Sonicwall は、自動化されたリアルタイムの侵害検出および防止プラットフォームを提供します。マルチエンジンのサンドボックスアプローチを提供し、ゲートウェイで脅威を阻止し、ビジネスの継続性を確保し、ネットワーク効率を向上させます。
ソフォス製品ドキュメント
取り込まれる内容
ソフォスで表示される警告の例:
ICMP PING CyberKitINFO Telerik.Web.UI.WebResource.axd AccessInitial Aggressive Mode CompletedUser Login TimeoutVPN Policy Enabled/DisabledWEB-ATTACKS Apache Struts OGNL Expression Language InjectionWEB-ATTACKS Cross Web Server Remote Code ExecutionWEB-ATTACKS Crystal Reports Web Viewer Information DisclosureDNS Rebind Attack BlockedIoT-ATTACKS Cisco Adaptive Security Appliance XSSIoT-ATTACKS Axis IP Camera Authentication Bypass
フィルタリング
メッセージは次のようにフィルタリングされます。
- 有効な Common Event Format (CEF) を使用する警告を許可しています。
- 大量で価値の低いメッセージを除去するために、レベル 20 のDROP フィルタを適用します。
脅威マッピングの例
警告の種類を判別するには、警告の分類とそれに含まれるフィールドに応じて、これらのフィールドのいずれかを使用します。
ipscatspycat
それ以外の場合は、cef.name にフォールバックします。
"value": "=> !isEmpty(fields.ipscat) ? searchRegexList(trim(replace( fields.ipscat, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(trim(replace( fields.ipscat, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : trim(replace( fields.ipscat, /\\\\*\"/g, '')) : !isEmpty(fields.spycat) ? searchRegexList(trim(replace( fields.spycat, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(trim(replace( fields.spycat, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : trim(replace( fields.spycat, /\\\\*\"/g, '')) : !isEmpty(cef.name) ? searchRegexList(trim(replace( cef.name, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(trim(replace( cef.name, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : trim(replace( cef.name, /\\\\*\"/g, '')) : undefined ",
マッピングの例:
{"alertType": "IP Spoof Detected", "threatId": "T1498", "threatName": "Network Denial of Service"}
{"alertType": "NTP Update Successful", "threatId": "T1547.003", "threatName": "Time Providers"}
{"alertType": "IPsec SA Added", "threatId": "T1552.004", "threatName": "Private Keys"}