Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Integração do Palo Alto PAN-OS

Você pode integrar o Palo Alto PAN-OS ao Sophos Central para que envie alertas à Sophos para análise.

Esta página lhe dá uma visão geral da integração.

Visão geral do produto Palo Alto PAN-OS

Panorama PAN-OS da Palo Alto Networks é um sistema de gerenciamento de segurança centralizado que oferece aos usuários visibilidade global, controle de política e automação de fluxo de trabalho em toda a implantação de firewall. Essa abordagem holística à segurança da rede assegura a cobertura consistente e a inteligência de ameaças em tempo real.

Documentação da Sophos

Integrar o Palo Alto PAN-OS

O que ingerimos

Ingerimos os logs Threat, WildFire Submission e Global Protect e um subconjunto de logs Traffic.

Exemplos de alertas vistos pela Sophos:

  • Spring Boot Actuator H2 Remote Code Execution Vulnerability (93279)
  • RealNetworks RealPlayer URL Parsing Stack Buffer Overflow Vulnerability (37255)
  • Dahua Security DVR Appliances Authentication Bypass Vulnerability (38926)
  • Microsoft Windows NTLMSSP Detection (92322)
  • Nome de usuário e/ou senha comprometidos em uma violação de dados anterior no login de entrada no FTP (SIGNATURE)

Alertas ingeridos na íntegra

Para obter nossas recomendações sobre como configurar o encaminhamento de log, consulte Integrar o Palo Alto PAN-OS.

Filtragem

Filtramos logs da seguinte forma.

Filtro de agente

  • PERMITIMOS o CEF válido.
  • DESCARTAMOS logs de tráfego.

Filtro da plataforma

  • DESCARTAMOS várias mensagens e logs revisados e não relacionados à segurança.
  • DESCARTAMOS logs de solicitação de DNS.
  • DESCARTAMOS alguns logs de VPN.
  • DESCARTAMOS logs Wildfire classificados como benign.
  • DESCARTAMOS várias mensagens especificadas de alto volume e baixo valor.

Amostra de mapeamentos de ameaças

Para determinar o tipo de alerta, usamos um desses campos, dependendo da classificação do alerta e dos campos que inclui.

  • cef.deviceEventClassID
  • PanOSThreatCategory
"value": "=> !isEmpty(fields.cat) && !is(fields.cat, 'vulnerability') ? searchRegexList(fields.cat, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.cat, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.cat : !isEmpty(fields.cat) && is(fields.cat, 'vulnerability') ? searchRegexList(cef.deviceEventClassID, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) ?searchRegexList(cef.deviceEventClassID, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) : cef.deviceEventClassID : isEmpty(fields.cat) && !isEmpty(fields.PanOSThreatCategory) ? fields.PanOSThreatCategory : undefined",

Exemplos de mapeamentos:

{"alertType": "Apache Log4j Remote Code Execution Vulnerability(N)", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "RealVNC VNC Server ClientCutText Message Memory Corruption Vulnerability(33672)", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "DOCX With Attached Templates In Multiple Attacks(86646)", "threatId": "T1221", "threatName": "Template Injection"}
{"alertType": "Generic Cross-Site Scripting Vulnerability(94093)", "threatId": "T1189", "threatName": "Drive-by Compromise"}
{"alertType": "Fastflux:DOMAIN(N)", "threatId": "T1036", "threatName": "Masquerading"}
{"alertType": "Virus.ramnit:lfjyaf.com(121569082)", "threatId": "TA0002", "threatName": "Execution"}
{"alertType": "OpenSSL SSL_check_chain NULL Pointer Dereference Vulnerability(58033)"  "threatId": "T1573", "threatName": "Encrypted Channel"}
{"alertType": "Microsoft Office File Embedded in PDF File Detection(86796)", "threatId": "T1204.002", "threatName": "Malicious File"}

Documentação do fornecedor

Configure Log Forwarding