Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=sonicwall-overview

Integração do SonicWall SonicOS

Coletor de log Firewall

Você pode integrar o SonicWall SonicOS ao Sophos Central para o envio de alertas à Sophos para análise.

Esta página lhe dá uma visão geral da integração.

Visão geral do produto SonicWall SonicOS

A SonicWall é uma plataforma de prevenção e detecção de violação automatizada e em tempo real. Oferece uma abordagem de sandbox com vários mecanismos que bloqueia as ameaças no gateway, assegurando a continuidade do negócio e aprimorando a eficiência da rede.

Documentação da Sophos

Integrar SonicWall SonicOS

O que ingerimos

Exemplos de alertas vistos pela Sophos:

  • ICMP PING CyberKit
  • INFO Telerik.Web.UI.WebResource.axd Access
  • Initial Aggressive Mode Completed
  • User Login Timeout
  • VPN Policy Enabled/Disabled
  • WEB-ATTACKS Apache Struts OGNL Expression Language Injection
  • WEB-ATTACKS Cross Web Server Remote Code Execution
  • WEB-ATTACKS Crystal Reports Web Viewer Information Disclosure
  • DNS Rebind Attack Blocked
  • IoT-ATTACKS Cisco Adaptive Security Appliance XSS
  • IoT-ATTACKS Axis IP Camera Authentication Bypass

Filtragem

Filtramos mensagens da seguinte forma:

  • PERMITIMOS alertas que usem o formato CEF (Common Event Format).
  • Aplicamos filtros de descarte DROP Level 20 para remover mensagens de alto volume, mas de baixo valor.

Amostra de mapeamentos de ameaças

Para determinar o tipo de alerta, usamos um desses campos, dependendo da classificação do alerta e dos campos que inclui.

  • ipscat
  • spycat

Caso contrário, fazemos fallback para cef.name.

"value": "=> !isEmpty(fields.ipscat) ? searchRegexList(trim(replace( fields.ipscat, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(trim(replace( fields.ipscat, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : trim(replace( fields.ipscat, /\\\\*\"/g, '')) : !isEmpty(fields.spycat) ? searchRegexList(trim(replace( fields.spycat, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(trim(replace( fields.spycat, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : trim(replace( fields.spycat, /\\\\*\"/g, '')) : !isEmpty(cef.name) ? searchRegexList(trim(replace( cef.name, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(trim(replace( cef.name, /\\\\*\"/g, '')), [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : trim(replace( cef.name, /\\\\*\"/g, '')) : undefined ",

Exemplos de mapeamentos:

{"alertType": "IP Spoof Detected", "threatId": "T1498", "threatName": "Network Denial of Service"}
{"alertType": "NTP Update Successful", "threatId": "T1547.003", "threatName": "Time Providers"}
{"alertType": "IPsec SA Added", "threatId": "T1552.004", "threatName": "Private Keys"}

Documentação do fornecedor