跳至內容
部分或全部頁面已經過機器翻譯。
了解我們如何支援MDR。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=checkpoint-overview

Check Point - Quantum Firewall 執行個體

記錄收集器 防火牆

您可以將 Check Point Quantum Firewall 與 Sophos Central 整合,以便將稽核資料傳送到 Sophos 進行分析。

本頁面提供此整合功能的概覽。

Check Point Quantum Firewall 產品簡介

Check Point 的 ITP Firewall 是整合安全解決方案,旨在為整個 IT 基礎架構提供全面的威脅防護。其利用即時威脅情報和進階預防技術,確保網路針對已知和新出現的威脅保持安全。

Sophos 文件資訊

整合 Check Point Quantum Firewall

資料擷取內容

Sophos 可擷取的範例警示包括:

  • Streaming Engine: TCP anomaly detected
  • Malformed Packet
  • SSL Enforcement Violation
  • Backdoor.WIN32.Zegost.A
  • Trojan.Win32.HackerDefender.A
  • Malware.TC.268bRWCT
  • Phishing.RS.TC.29f5jdTi
  • SYN Attack
  • Virus.WIN32.Sality.DY
  • Microsoft Exchange Server Remote Code Execution
  • Network Denial of Service Based Attack Detected on Connection
  • Nostromo Web Server Directory Traversal (CVE-2019-16278)

資料篩選

我們按以下方式篩選警示:

  • 我們只允許使用有效的通用事件格式 (CEF) 的警示。

威脅對應範例

我們使用其中一個欄位來確定警報類型,取決於警報分類和它包含的欄位。

  • cef.deviceEventClassID
  • cef.name
  • msg
  • product 
    "value": "=> is(fields.product, 'SmartDefense') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Attack Information') && !is(fields.flexString2, 'Other') ? searchRegexList(fields.flexString2, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.flexString2, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.flexString2 : is(fields.product, 'Application Control') ? cef.deviceEventClassID : is(fields.product, 'New Anti Virus') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Malware Action') && !is(fields.flexString2, 'Other') ? fields.flexString2 : is(fields.product, 'Anti Malware') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Malware Action') && !is(fields.flexString2, 'Other') ? fields.flexString2 : is(fields.product, 'New Anti Virus') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Malware Action') && is(fields.flexString2, 'Other') ? cef.name : is(fields.product, 'Anti Malware') && !isEmpty(fields.flexString2) && !isEmpty(fields.flexString2Label) && is(fields.flexString2Label, 'Malware Action') && is(fields.flexString2, 'Other') ? cef.name : !isEmpty(fields.msg) ? searchRegexList(fields.msg, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.msg, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.msg : !isEmpty(fields.product) ? fields.product : undefined"

範例對應項目如下:

{"alertType": "Extracted files name: NAME Extracted files type: TYPE Extracted files sha1: SHA Extracted files verdict: VERDICT", "threatId": "T1598.002", "threatName": "Spearphishing Attachment"}
{"alertType": "Gallery search engine cross-site scripting", "threatId": "T1189", "threatName": "Drive-by Compromise"}
{"alertType": "Address spoofing", "threatId": "T1036", "threatName": "Masquerading"}

原廠文件

記錄和監控 R80.30 管理指南