Barracuda CloudGen 통합
Sophos Central에 Barracuda CloudGen를 통합하면 Sophos로 경고를 전송하여 분석할 수 있습니다.
이 페이지에서는 통합에 대한 개요를 제공합니다.
바라쿠다 CloudGen 개요
Barracuda CloudGen Firewall은 클라우드 및 하이브리드 네트워크를 위한 포괄적인 보안 솔루션을 제공합니다. 이 방화벽은 사이트 간 연결을 개선하고 클라우드에서 호스팅되는 응용 프로그램에 중단 없이 액세스할 수 있도록 지원합니다. 고급 위협 보호 및 글로벌 인텔리전스 네트워크를 포함한 다층 방어 기능을 제공하는 Barracuda는 랜섬웨어 및 제로데이 공격과 같은 다양한 사이버 위협으로부터 실시간 보호를 보장합니다. 실제 환경과 클라우드 환경 모두에 배포할 수 있으며, 원활한 연결을 위한 통합형 SD-WAN 기능과 간소화된 배포 및 포괄적인 네트워크 가시성을 위한 중앙 집중식 관리 도구를 제공합니다.
Sophos 문서
우리가 섭취하는 것
Sophos에서 볼 수 있는 샘플 경고:
Login from IP_ADDRESS: Denied: Firewall Rule RULE
rolled out network relevant configuration files
Load Config from FILE
Plug and Play ACPI device, ID (active)
starting vpn client
FW UDP Connection Limit Exceeded
FW Rule Warning
FW Flood Ping Protection Activated
알림이 완전히 수집됨
Barracuda CloudGen 방화벽에서 자세한 방화벽 보고 syslog 출력을 구성하는 것이 좋습니다. 그러나 이 출력은 유용한 보안 경고만 처리하도록 상당한 필터링을 거칩니다.
대부분의 알림은 정규식으로 표준화됩니다.
필터링
현재 가장 시끄러운 알림을 필터링하고 있습니다. 필터에는 다음이 포함됩니다.
UDP-NEW\\(Normal Operation,0\\)
Session Idle Timeout
\\[Request\\] Allow
\\[Request\\] Remove
\\[Sync\\] Changed: Transport
Session PHS: Authentication request from user
Tunnel has now one working transport
Session -------- Tunnel
Abort TCP transport
Info CHHUNFWHQ-01 Session
: Accounting LOGIN
State: REM\\(Unreachable Timeout,20\\)
read failed\\(IOStreamSock: Receive\\(\\) end of file\\) closing connection
DH attributes found in request, generating new key
\\[Sync\\] Changed: Checking Transports
State: UDP-FAIL\\(Port Unreachable,3\\)
DH key agreement successful
Request Timeout \\(HandshakeRequest ReqState=Init RepState=Init\\) -> terminate session
\\[Sync\\] Local: Update Transport
send fast reply
\\[Sync\\] Session Command
\\[HASYNC\\] update
Transport .* State changed to
Accounting LOGOUT
TCP.*close on command
Rule: Authentication Login
Rule: Authentication Logout
Error.*Request Timeout
Info.*Delete Transport
Info.*\\[HASYNC\\]
Notice.*\\[HASYNC\\]
Warning.*Tunnel Heartbeat failed
Info.*Worker Process.*timeout
Error.*Operation: Poll.*Timeout
Info.*\\(New Request
Info.*\\(Normal Operation
위협 매핑 샘플
위협 매핑을 위해 fields.message를 사용하거나 표준 이벤트 유형의 정보 필드에서 코드를 조회합니다. 보안 이벤트를 참조하십시오.
"alertType": "=>searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]
샘플:
{"alertType": "Number of child processes automatically set to N based on number of CPU cores and size of RAM", "threatId": "T1057", "threatName": "Process Discovery"}
{"alertType": "found no explicit phase1 aggressive configuration in IP_ADDRESS for client", "threatId": "T1573", "threatName": "Encrypted Channel"}