Integração do Palo Alto PAN-OS

Você pode integrar o Palo Alto PAN-OS ao Sophos Central para que envie alertas à Sophos para análise.

Esta página lhe dá uma visão geral da integração.

Visão geral do produto Palo Alto PAN-OS

Panorama PAN-OS da Palo Alto Networks é um sistema de gerenciamento de segurança centralizado que oferece aos usuários visibilidade global, controle de política e automação de fluxo de trabalho em toda a implantação de firewall. Essa abordagem holística à segurança da rede assegura a cobertura consistente e a inteligência de ameaças em tempo real.

Documentação da Sophos

Integrar o Palo Alto PAN-OS

O que ingerimos

Ingerimos os logs Threat, WildFire Submission e Global Protect e um subconjunto de logs Traffic.

Exemplos de alertas vistos pela Sophos:

Spring Boot Actuator H2 Remote Code Execution Vulnerability (93279)
RealNetworks RealPlayer URL Parsing Stack Buffer Overflow Vulnerability (37255)
Dahua Security DVR Appliances Authentication Bypass Vulnerability (38926)
Microsoft Windows NTLMSSP Detection (92322)
Nome de usuário e/ou senha comprometidos em uma violação de dados anterior no login de entrada no FTP (SIGNATURE)

Alertas ingeridos na íntegra

Para obter nossas recomendações sobre como configurar o encaminhamento de log, consulte Integrar o Palo Alto PAN-OS.

Filtragem

Filtramos logs da seguinte forma.

Filtro de agente

PERMITIMOS o CEF válido.
DESCARTAMOS logs de tráfego.

Filtro da plataforma

DESCARTAMOS várias mensagens e logs revisados e não relacionados à segurança.
DESCARTAMOS logs de solicitação de DNS.
DESCARTAMOS alguns logs de VPN.
DESCARTAMOS logs Wildfire classificados como benign.
DESCARTAMOS várias mensagens especificadas de alto volume e baixo valor.

Amostra de mapeamentos de ameaças

Para determinar o tipo de alerta, usamos um desses campos, dependendo da classificação do alerta e dos campos que inclui.

cef.deviceEventClassID
PanOSThreatCategory

"value": "=> !isEmpty(fields.cat) && !is(fields.cat, 'vulnerability') ? searchRegexList(fields.cat, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.cat, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.cat : !isEmpty(fields.cat) && is(fields.cat, 'vulnerability') ? searchRegexList(cef.deviceEventClassID, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) ?searchRegexList(cef.deviceEventClassID, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) : cef.deviceEventClassID : isEmpty(fields.cat) && !isEmpty(fields.PanOSThreatCategory) ? fields.PanOSThreatCategory : undefined",

Exemplos de mapeamentos:

{"alertType": "Apache Log4j Remote Code Execution Vulnerability(N)", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "RealVNC VNC Server ClientCutText Message Memory Corruption Vulnerability(33672)", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "DOCX With Attached Templates In Multiple Attacks(86646)", "threatId": "T1221", "threatName": "Template Injection"}
{"alertType": "Generic Cross-Site Scripting Vulnerability(94093)", "threatId": "T1189", "threatName": "Drive-by Compromise"}
{"alertType": "Fastflux:DOMAIN(N)", "threatId": "T1036", "threatName": "Masquerading"}
{"alertType": "Virus.ramnit:lfjyaf.com(121569082)", "threatId": "TA0002", "threatName": "Execution"}
{"alertType": "OpenSSL SSL_check_chain NULL Pointer Dereference Vulnerability(58033)"  "threatId": "T1573", "threatName": "Encrypted Channel"}
{"alertType": "Microsoft Office File Embedded in PDF File Detection(86796)", "threatId": "T1204.002", "threatName": "Malicious File"}

Documentação do fornecedor

Configure Log Forwarding