Palo Alto PAN-OS 整合
您可以將 Palo Alto PAN-OS 與 Sophos Central 整合,讓其將警示傳送至 Sophos 進行分析。
本頁面提供此整合功能的概覽。
Palo Alto PAN-OS 產品簡介
Palo Alto Networks 的 Panorama PAN-OS 是一套集中式安全性管理系統, 能為使用者提供全面的可視性、原則控管,以及涵蓋整體防火牆部署的工作流程自動化功能。這是對網路安全的整體性做法,可確保一致性的防護範圍與即時的威脅情報。
Sophos 文件資訊
資料擷取內容
我們會攝取 Threat
、WildFire Submission
,以及 Global Protect
日誌以及部分的 Traffic
日誌。
Sophos 可擷取的範例警示包括:
- Spring Boot Actuator H2 遠端程式碼執行漏洞 (93279)
- RealNetworks RealPlayer URL 剖析堆疊緩衝區溢位漏洞 (37255)
- Dahua 安全性 DVR 裝置驗證繞過漏洞 (38926)
- Microsoft Windows NTLMSSP 偵測 (92322)
- FTP 登入過程中偵測到先前資料外洩事件中洩漏的帳號和/或密碼 (SIGNATURE)
完整擷取警示
若需關於如何設定日誌轉送的建議,請參閱 整合 Palo Alto PAN-OS。
資料篩選
我們的日誌篩選規則如下:
代理程式篩選
- 我們允許合法的
CEF
。 - 我們刪除流量記錄。
平台篩選
- 我們刪除多項經審查後確認與安全性無關的訊息與日誌。
- 我們刪除 DNS 請求記錄。
- 我們刪除部分 VPN 日誌。
- 我們刪除被分類為
benign
的 Wildfire 日誌。 - 我們刪除各種高頻率但低價值的指定訊息。
威脅對應範例
為了判斷警示類型,我們會根據警示分類與所包含的欄位,使用以下欄位之一進行比對。
cef.deviceEventClassID
PanOSThreatCategory
"value": "=> !isEmpty(fields.cat) && !is(fields.cat, 'vulnerability') ? searchRegexList(fields.cat, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) ? searchRegexList(fields.cat, [_.referenceValues.code_translation.regex_alert_type, _.globalReferenceValues.code_translation.regex_alert_type]) : fields.cat : !isEmpty(fields.cat) && is(fields.cat, 'vulnerability') ? searchRegexList(cef.deviceEventClassID, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) ?searchRegexList(cef.deviceEventClassID, [_.referenceValues.code_translation.regex_alert_type,_.globalReferenceValues.code_translation.regex_alert_type]) : cef.deviceEventClassID : isEmpty(fields.cat) && !isEmpty(fields.PanOSThreatCategory) ? fields.PanOSThreatCategory : undefined",
範例對應項目如下:
{"alertType": "Apache Log4j Remote Code Execution Vulnerability(N)", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "RealVNC VNC Server ClientCutText Message Memory Corruption Vulnerability(33672)", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "DOCX With Attached Templates In Multiple Attacks(86646)", "threatId": "T1221", "threatName": "Template Injection"}
{"alertType": "Generic Cross-Site Scripting Vulnerability(94093)", "threatId": "T1189", "threatName": "Drive-by Compromise"}
{"alertType": "Fastflux:DOMAIN(N)", "threatId": "T1036", "threatName": "Masquerading"}
{"alertType": "Virus.ramnit:lfjyaf.com(121569082)", "threatId": "TA0002", "threatName": "Execution"}
{"alertType": "OpenSSL SSL_check_chain NULL Pointer Dereference Vulnerability(58033)" "threatId": "T1573", "threatName": "Encrypted Channel"}
{"alertType": "Microsoft Office File Embedded in PDF File Detection(86796)", "threatId": "T1204.002", "threatName": "Malicious File"}