Integração do Barracuda CloudGen
Você pode integrar o Barracuda CloudGen ao Sophos Central para o envio de alertas à Sophos para análise.
Esta página lhe dá uma visão geral da integração.
Visão geral do Barracuda CloudGen
O Barracuda CloudGen Firewall oferece soluções de segurança abrangentes para nuvem e redes híbridas. O firewall melhora a conectividade site a site e permite o acesso ininterrupto a aplicativos hospedados na nuvem. Com defesas multicamada, incluindo proteção contra ameaças avançadas e redes de inteligência global, o Barracuda garante a proteção em tempo real de diversas ameaças cibernéticas, como ransomware e ataques de dia zero. Implementável em ambientes físicos e na nuvem, oferece funcionalidades SD-WAN integradas para conectividade ininterrupta e ferramentas de gerenciamento centralizado para proporcionar uma implantação simplificada e visibilidade de rede abrangente.
Documentação da Sophos
O que ingerimos
Exemplos de alertas vistos pela Sophos:
Login from IP_ADDRESS: Denied: Firewall Rule RULErolled out network relevant configuration filesLoad Config from FILEPlug and Play ACPI device, ID (active)starting vpn clientFW UDP Connection Limit ExceededFW Rule WarningFW Flood Ping Protection Activated
Alertas ingeridos na íntegra
Recomendamos que você configure a saída de syslog Detailed Firewall Reporting do Barracuda CloudGen, mas sujeita a uma filtragem significativa, para que processe apenas alertas de segurança úteis.
A maioria dos alertas é padronizada com regex.
Filtragem
Atualmente, filtramos os alertas mais ruidosos. Os filtros incluem:
UDP-NEW\\(Normal Operation,0\\)Session Idle Timeout\\[Request\\] Allow\\[Request\\] Remove\\[Sync\\] Changed: TransportSession PHS: Authentication request from userTunnel has now one working transportSession -------- TunnelAbort TCP transportInfo CHHUNFWHQ-01 Session: Accounting LOGINState: REM\\(Unreachable Timeout,20\\)read failed\\(IOStreamSock: Receive\\(\\) end of file\\) closing connectionDH attributes found in request, generating new key\\[Sync\\] Changed: Checking TransportsState: UDP-FAIL\\(Port Unreachable,3\\)DH key agreement successfulRequest Timeout \\(HandshakeRequest ReqState=Init RepState=Init\\) -> terminate session\\[Sync\\] Local: Update Transportsend fast reply\\[Sync\\] Session Command\\[HASYNC\\] updateTransport .* State changed toAccounting LOGOUTTCP.*close on commandRule: Authentication LoginRule: Authentication LogoutError.*Request TimeoutInfo.*Delete TransportInfo.*\\[HASYNC\\]Notice.*\\[HASYNC\\]Warning.*Tunnel Heartbeat failedInfo.*Worker Process.*timeoutError.*Operation: Poll.*TimeoutInfo.*\\(New RequestInfo.*\\(Normal Operation
Amostra de mapeamentos de ameaças
Usamos fields.message para mapeamentos de ameaças em que está presente, ou procuramos um código no campo de informações dos tipos de eventos padrão. Consulte Security Events.
"alertType": "=> searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.message, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.message"
Amostras:
{"alertType": "Number of child processes automatically set to N based on number of CPU cores and size of RAM", "threatId": "T1057", "threatName": "Process Discovery"}
{"alertType": "found no explicit phase1 aggressive configuration in IP_ADDRESS for client", "threatId": "T1573", "threatName": "Encrypted Channel"}