포스포인트 통합

Forcepoint 차세대 방화벽(NGFW)을 Sophos Central 과 통합하면 Sophos 에서 분석을 위해 경고를 전송할 수 있습니다.

이 페이지에서는 통합에 대한 개요를 제공합니다.

Forcepoint 제품 개요

Forcepoint Next-Generation Firewall(NGFW)은 네트워크 트래픽에 대한 가시성, 제어 및 상황 분석을 제공하는 정교한 메커니즘을 사용하여 보안 정책 및 방어에 대한 동적 조정을 가능하게 합니다. 이 방화벽은 고급 기술과 사용자 중심 접근 방식을 활용해 강력한 위협 예방 및 감지를 용이하게 하여 조직의 자산, 데이터 및 네트워크 인프라를 보호합니다.

Sophos 문서

수집되는 것

저희가 확인하는 알림 예시는 다음과 같습니다.

China.Chopper.Web.Shell.Client.Connection
Easy.Hosting.Control.Panel.FTP.Account.Security.Bypass
HTTP.URI.SQL.Injection
Malicious.HTTP.URI.Requests
Joomla!.com_fields.SQL.Injection

완전히 수집되는 경고

Forcepoint의 표준 syslog 출력(다음 항목 포함)을 구성하는 것이 좋습니다.

BSD 시스템용 클록 데몬
System V 시스템용 클록 데몬
파일 전송 프로토콜
커널 메시지
라인 프린터 서브시스템
메일 시스템
syslogd에서 내부적으로 생성된 메시지
네트워크 뉴스 하위 시스템
네트워크 시간 프로토콜
무작위 사용자 수준 메시지
보안/권한 메시지
보안/권한 부여 메시지(비공개)
시스템 데몬
UUCP 서브시스템

표준 syslog 출력은 Syslog 항목을 참조하세요.

필터링

경고는 다음과 같이 필터링됩니다.

허용

유효한CEF

차단

설명

이러한 항목들은 MDR 분석팀의 피드백을 바탕으로 보안과 관련 없는 이벤트로 분류되었습니다. 주로 일상적인 VPN 활동, 표준 네트워크 작업 및 반복적이고 일반적으로 중요하지 않은 자동 시스템 메시지가 포함되므로 로깅이 필요하지 않습니다.

정규 표현식 패턴

msg=Connection dropped
msg=Delete notification received for .* SPI
\|File-Filtering-Policy_Buffering-Limit-Exceeded\|
\|FW_New-SSL-VPN-Connection\|
msg=IPsec SA Import succeeded

예

msg=IPsec SA initiator done. Rekeyed SPI: .* Encryption:.*, mac:.*
msg=IPsec SA responder done
msg=IKE SA deleted
msg=IKEv2 SA error: Timed out
msg=IKEv2 SA initiator failed, Local auth method: Reserved, Remote auth method: Reserved
msg=IPsec SA initiator error: Timed out
msg=Message type ack. XID: .* Relay ip .* Server ID: .* DNS: .* DNS: .* Domain: .*
msg=Message type offer. XID: .* Relay ip .* Server ID: .* DNS: .* DNS: .* Domain: .*
msg=Sending Dead Peer Detection notify \\(.*\\)
msg=Starting IKEv2 initiator negotiation
\\|TCP_Option-Unknown\\|
\\|URL_Category-Accounting\\|
msg=New engine upgrades available on Forcepoint web site: Engine upgrades NGFW upgrade .* build \\d+ for .*
\\|TCP_Segment-SYN-No-Options\\|
msg=Connection was reset by client
\\|FW_New-Route-Based-VPN-Connection\\|0\\|.* act=Discard
\\|TCP_Checksum-Mismatch\\|
msg=Notifications: N\\(HTTP_CERT_LOOKUP_SUPPORTED\\), N\\(MESSAGE_ID_SYNC_SUPPORTED\\), N\\(ESP_TFC_PADDING_NOT_SUPPORTED\\), N\\(NON_FIRST_FRAGMENTS_ALSO\\)
\\|FW_New-IPsec-VPN-Connection\\|
\\|FW_Related-Connection\\|
\\|Connection_Progress\\|
msg=Connection was reset by server
msg=Connection timeout in state TCP_SYN_SEEN
\\|Connection_Rematched\\|
\\|Connection_Allowed\\|
\\|Connection_Discarded\\|
\\|Connection_Closed\\|
\\|Log_Compress-SIDs\\|
act=Allow msg=Referred connection
\\|FW_New-Route-Based-VPN-Connection\\|0\\|.* act=Allow
\\|HTTP_URL-Logged\\|1\\|.* act=Permit
msg=Message type \\w+. XID: .*. Relay ip .*. Relayed to .*
\\|Generic\\|0\\|.*msg=Rekeyed IPsec SA installed. Inbound
msg=HISTORY: PID\\W+\\d+ UID\\W+\\d+ USER\\W+\\w+
msg=\\[I\\]\\[.*\\] Gid map: inside_gid:\\d+ outside_gid:\\d+ count:\\d+
msg=\\[I\\]\\[.*\\] Jail parameters
msg=\\[I\\]\\[.*\\] Uid map: inside_uid:\\d+ outside_uid:\\d+ count:\\d+
msg=\\[I\\]\\[.*\\] pid\\W+\\d+ \\(\\[STANDALONE MODE\\]\\) exited with status: \\d+, \\(PIDs left: \\d+\\)
msg=\\[I\\]\\[.*\\] Mount: .* flags:.* type:.* options:.* dir:.*
\\|DNS_Client-Type-Unknown\\|2\\|.* act=Permit
\\|File_Allowed\\|1\\|.* act=Permit
\\|HTTP_Request-with-redirect-capability\\|1\\|
\\|FW_Info-Request\\|0\\|
\\|Generic\\|0\\|.*msg=\\[\\d+\\.\\d+\\].*

샘플 위협 매핑

"alertType": "Mirai.Botnet", "threatId": "T1498", "threatName": "Network Denial of Service",
"alertType": "WIFICAM.P2P.GoAhead.Multiple.Remote.Code.Execution", "threatId": "T1203", "threatName": "Exploitation for Client Execution",
"alertType": "TCP.Split.Handshake", "threatId": "T1082", "threatName": "System Information Discovery",
"alertType": "WePresent.WiPG1000.Command.Injection", "threatId": "T1203", "threatName": "Exploitation for Client Execution",
"alertType": "Open.Flash.Chart.PHP.File.Upload", "threatId": "T1105", "threatName": "Ingress Tool Transfer",