Integração do Check Point Quantum Firewall
Você pode integrar o Check Point Quantum Firewall ao Sophos Central para o envio de dados de auditoria à Sophos para análise.
Esta página lhe dá uma visão geral da integração.
Visão geral do produto Check Point Quantum Firewall
O ITP Firewall da Check Point é uma solução de segurança integrada projetada para oferecer uma ampla proteção contra ameaças por toda a infraestrutura de TI. Ao aproveitar as tecnologias de prevenção avançada e inteligência de ameaças em tempo real, ele garante que as redes permaneçam protegidas contra ameaças conhecidas e emergentes.
Documentação da Sophos
Integrar Check Point Quantum Firewall
O que ingerimos
Exemplos de alertas vistos pela Sophos:
Streaming Engine: TCP anomaly detectedMalformed PacketSSL Enforcement ViolationBackdoor.WIN32.Zegost.ATrojan.Win32.HackerDefender.AMalware.TC.268bRWCTPhishing.RS.TC.29f5jdTiSYN AttackVirus.WIN32.Sality.DYMicrosoft Exchange Server Remote Code ExecutionNetwork Denial of Service Based Attack Detected on ConnectionNostromo Web Server Directory Traversal (CVE-2019-16278)
Filtragem
Filtramos mensagens da seguinte forma:
- PERMITIMOS apenas alertas que usem o formato CEF (Common Event Format).
Amostra de mapeamentos de ameaças
Usamos um destes campos para determinar o tipo de alerta, dependendo da classificação do alerta e dos campos que ele inclui.
cef.deviceEventClassIDcef.namemsgproduct"value": "=> is(fields.product, 'SmartDefense') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Attack Information') && !is(fields.flexString2, 'Other') ? searchRegexList(fields.flexString2, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.flexString2, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.flexString2 : is(fields.product, 'Application Control') ? cef.deviceEventClassID : is(fields.product, 'New Anti Virus') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Malware Action') && !is(fields.flexString2, 'Other') ? fields.flexString2 : is(fields.product, 'Anti Malware') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Malware Action') && !is(fields.flexString2, 'Other') ? fields.flexString2 : is(fields.product, 'New Anti Virus') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Malware Action') && is(fields.flexString2, 'Other') ? cef.name : is(fields.product, 'Anti Malware') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Malware Action') && is(fields.flexString2, 'Other') ? cef.name : !isEmpty(fields.msg) ? searchRegexList(fields.msg, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.msg, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.msg : !isEmpty(fields.product) ? fields.product : undefined"
Exemplos de mapeamentos:
{"alertType": "Extracted files name: NAME Extracted files type: TYPE Extracted files sha1: SHA Extracted files verdict: VERDICT", "threatId": "T1598.002", "threatName": "Spearphishing Attachment"}
{"alertType": "Gallery search engine cross-site scripting", "threatId": "T1189", "threatName": "Drive-by Compromise"}
{"alertType": "Address spoofing", "threatId": "T1036", "threatName": "Masquerading"}