주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.
MDR을 지원하는 방법에 대해 알아보십시오.

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=palo-alto-overview

Palo Alto PAN-OS 통합

Sophos Central에 Palo Alto PAN-OS를 통합하면 Sophos로 경고를 전송하여 분석할 수 있습니다.

이 페이지에서는 통합에 대한 개요를 제공합니다.

Palo Alto PAN-OS 제품 개요

Palo Alto Networks의 Panorama PAN-OS는 전체 방화벽 배포에 걸쳐 사용자에게 전역 가시성, 정책 제어 및 워크플로 자동화를 제공하는 중앙 집중식 보안 관리 시스템입니다. 이는 네트워크 보안에 대한 전체적인 접근 방식으로 일관된 보호와 실시간 위협 인텔리전스를 보장합니다.

Sophos 문서

Palo Alto PAN-OS 통합

수집되는 것

우리는위협, 산불 신고, 글로벌 보호 로그 및 트래픽 로그의 일부를 수집합니다.

Sophos에서 볼 수 있는 샘플 경고:

  • Spring Boot Actuator H2 Remote Code Execution Vulnerability (93279)
  • RealNetworks RealPlayer URL Parsing Stack Buffer Overflow Vulnerability (37255)
  • Dahua Security DVR Appliances Authentication Bypass Vulnerability (38926)
  • Microsoft Windows NTLMSSP Detection (92322)
  • Compromised username and/or password from previous data breach in inbound FTP login (SIGNATURE)

완전히 수집되는 경고

로그 전달 구성에 대한 권장 사항은 Palo Alto PAN-OS 통합을 참조하세요.

필터링

로그는 다음과 같이 필터링합니다.

에이전트 필터

  • 유효한 CEF 파일 시스템 사용을 허용합니다.
  • 저희는 트래픽 로그를 삭제합니다.

플랫폼 필터

  • 저희는 검토를 거친 다양한 비보안 관련 메시지와 로그를 삭제합니다.
  • 저희는 DNS 요청 로그를 삭제합니다.
  • 저희는 일부 VPN 로그를 삭제합니다.
  • 양성으로 분류된 산불 로그를 삭제합니다.
  • 우리는 특정 유형의 대량 메시지와 가치가 낮은 메시지를 삭제합니다.

샘플 위협 매핑

경고 유형을 결정하기 위해 경고 분류 및 포함된 필드에 따라 다음 필드 중 하나를 사용합니다.

  • cef.deviceEventClassID
  • PanOSThreatCategory
"value": "=> !isEmpty(fields.cat) && !is(fields.cat, 'vulnerability') ? searchRegexList(fields.cat, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.cat, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.cat : !isEmpty(fields.cat) && is(fields.cat, 'vulnerability') ? searchRegexList(cef.deviceEventClassID, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) ?searchRegexList(cef.deviceEventClassID, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) : cef.deviceEventClassID : isEmpty(fields.cat) && !isEmpty(fields.PanOSThreatCategory) ? fields.PanOSThreatCategory : undefined",

샘플 매핑:

{"alertType": "Apache Log4j Remote Code Execution Vulnerability(N)", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "RealVNC VNC Server ClientCutText Message Memory Corruption Vulnerability(33672)", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "DOCX With Attached Templates In Multiple Attacks(86646)", "threatId": "T1221", "threatName": "Template Injection"}
{"alertType": "Generic Cross-Site Scripting Vulnerability(94093)", "threatId": "T1189", "threatName": "Drive-by Compromise"}
{"alertType": "Fastflux:DOMAIN(N)", "threatId": "T1036", "threatName": "Masquerading"}
{"alertType": "Virus.ramnit:lfjyaf.com(121569082)", "threatId": "TA0002", "threatName": "Execution"}
{"alertType": "OpenSSL SSL_check_chain NULL Pointer Dereference Vulnerability(58033)"  "threatId": "T1573", "threatName": "Encrypted Channel"}
{"alertType": "Microsoft Office File Embedded in PDF File Detection(86796)", "threatId": "T1204.002", "threatName": "Malicious File"}

공급업체 설명서

로그 포워딩을 구성합니다.