Ubiquiti UniFi 통합
Sophos Central에 Ubiquiti UniFi를 통합하면 Sophos로 경고를 전송하여 분석할 수 있습니다.
이 페이지에서는 통합에 대한 개요를 제공합니다.
Ubiquiti UniFi 개요
Ubiquiti UniFi은 네트워크 트래픽을 관리 및 모니터링하고 사전 정의된 규칙과 정책을 적용하여 조직 네트워크의 보안 경계를 강화하는 방식으로 작동합니다. Ubiquiti Firewall은 중앙 집중식 플랫폼을 통해 네트워크 보안 구성의 효율적인 관리를 용이하게 하여 연결된 장치와 전송된 데이터를 잠재적인 취약성 및 공격으로부터 보호합니다.
Sophos 문서
수집되는 것
security-detection-uuid 다음 모델을 포함하여 Ubiquiti UniFi 게이트웨이 장치에서 생성된 Syslog 메시지:
- USG
- UXG
- UDM
필터링
경고는 다음과 같이 필터링됩니다.
- 유효한 CEF 형식이 아닌 드롭 알림입니다.
- IDS/IPS 기능에서 제공되지 않는 드롭 경고(침입 감지 및 방지)
샘플 위협 매핑
{"alertType": "ET SCAN MS Terminal Server Traffic on Non-standard Port", "threatId": "T1571", "threatName": "Non-Standard Port"}
{"alertType": "USERNAME made changes to DEVICENAME DEVICE.", "threatId": "T1562.004", "threatName": "Impair Defenses: Disable or Modify System Firewall"}
{"alertType": "ET DROP Dshield Block Listed Source group 1", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "ET SCAN Zmap User-Agent (Inbound)", "threatId": "T1046", "threatName": "Network Service Scanning"}