跳至內容
了解我們如何支援MDR。

Palo Alto PAN-OS 整合

您可以將 Palo Alto PAN-OS 與 Sophos Central 整合,讓其將警示傳送至 Sophos 進行分析。

本頁面提供此整合功能的概覽。

Palo Alto PAN-OS 產品簡介

Palo Alto Networks 的 Panorama PAN-OS 是一套集中式安全性管理系統, 能為使用者提供全面的可視性、原則控管,以及涵蓋整體防火牆部署的工作流程自動化功能。這是對網路安全的整體性做法,可確保一致性的防護範圍與即時的威脅情報。

Sophos 文件資訊

整合 Palo Alto PAN-OS

資料擷取內容

我們會攝取 ThreatWildFire Submission,以及 Global Protect 日誌以及部分的 Traffic 日誌。

Sophos 可擷取的範例警示包括:

  • Spring Boot Actuator H2 遠端程式碼執行漏洞 (93279)
  • RealNetworks RealPlayer URL 剖析堆疊緩衝區溢位漏洞 (37255)
  • Dahua 安全性 DVR 裝置驗證繞過漏洞 (38926)
  • Microsoft Windows NTLMSSP 偵測 (92322)
  • FTP 登入過程中偵測到先前資料外洩事件中洩漏的帳號和/或密碼 (SIGNATURE)

完整擷取警示

若需關於如何設定日誌轉送的建議,請參閱 整合 Palo Alto PAN-OS

資料篩選

我們的日誌篩選規則如下:

代理程式篩選

  • 我們允許合法的 CEF
  • 我們刪除流量記錄。

平台篩選

  • 我們刪除多項經審查後確認與安全性無關的訊息與日誌。
  • 我們刪除 DNS 請求記錄。
  • 我們刪除部分 VPN 日誌。
  • 我們刪除被分類為 benign 的 Wildfire 日誌。
  • 我們刪除各種高頻率但低價值的指定訊息。

威脅對應範例

為了判斷警示類型,我們會根據警示分類與所包含的欄位,使用以下欄位之一進行比對。

  • cef.deviceEventClassID
  • PanOSThreatCategory
"value": "=> !isEmpty(fields.cat) && !is(fields.cat, 'vulnerability') ? searchRegexList(fields.cat, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.cat, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.cat : !isEmpty(fields.cat) && is(fields.cat, 'vulnerability') ? searchRegexList(cef.deviceEventClassID, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) ?searchRegexList(cef.deviceEventClassID, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) : cef.deviceEventClassID : isEmpty(fields.cat) && !isEmpty(fields.PanOSThreatCategory) ? fields.PanOSThreatCategory : undefined",

範例對應項目如下:

{"alertType": "Apache Log4j Remote Code Execution Vulnerability(N)", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "RealVNC VNC Server ClientCutText Message Memory Corruption Vulnerability(33672)", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "DOCX With Attached Templates In Multiple Attacks(86646)", "threatId": "T1221", "threatName": "Template Injection"}
{"alertType": "Generic Cross-Site Scripting Vulnerability(94093)", "threatId": "T1189", "threatName": "Drive-by Compromise"}
{"alertType": "Fastflux:DOMAIN(N)", "threatId": "T1036", "threatName": "Masquerading"}
{"alertType": "Virus.ramnit:lfjyaf.com(121569082)", "threatId": "TA0002", "threatName": "Execution"}
{"alertType": "OpenSSL SSL_check_chain NULL Pointer Dereference Vulnerability(58033)"  "threatId": "T1573", "threatName": "Encrypted Channel"}
{"alertType": "Microsoft Office File Embedded in PDF File Detection(86796)", "threatId": "T1204.002", "threatName": "Malicious File"}

原廠文件

設定日誌轉送