Kaspersky Symphony XDR: Open Single Management Platform
1.2

Содержание

Реагирование с помощью Sophos Firewall

Sophos Firewall – это решение, обеспечивающее следующие средства защиты вашей корпоративной сети:

  • Сетевой экран – фильтрация сетевого трафика для защиты сети от несанкционированного доступа.
  • Защита от вторжений и атак – выявление и блокирование подозрительных действий для обеспечения целостности системы.
  • Антивирусное сканирование трафика – защита от вредоносных приложений и их действий.
  • Контроль приложений – блокирование или ограничение выполнения неавторизованных приложений.
  • Веб-фильтрация – ограничение доступа пользователей к сайтам, которые вы считаете нежелательными.

Поддерживается версия Sophos Firewall 19.5.

Вы можете реагировать на алерты и инциденты с помощью Sophos Firewall, если вы ранее настроили интеграцию между Open Single Management Platform и службой запуска скриптов, а также создали плейбук, который запустит скрипт для реагирования. В результате запуска плейбука Sophos Firewall блокирует IP-адреса, IP-диапазоны или URL, в зависимости от действия, которое вы указали при создании плейбука.

Чтобы разблокировать IP-адреса, IP-диапазоны или URL, которые вы заблокировали, вам нужно создать и запустить другой плейбук.

Вы можете скачать скрипт, перейдя по этой ссылке:

Загрузить скрипт

Логин и пароль для доступа к Sophos Firewall хранятся в конфигурационном файле env.sample. Вам нужно скопировать информацию из этого файла в новый файл ENV, который вы создаете, и указать необходимые параметры в новом файле.

Для запуска скрипта требуется Python 3.10.

Чтобы выполнить действие по реагированию с помощью Sophos Firewall, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня или Аналитик 2-го уровня.

Чтобы запустить скрипт для реагирования с помощью Sophos Firewall:

  1. В главном меню перейдите в раздел Мониторинг и отчеты, а затем в разделах Алерты или Инциденты нажмите на идентификатор нужного алерта или инцидента.
  2. Нажмите на кнопку Выбрать плейбук и в открывшемся окне выберите плейбук, который вы создали для реагирования с помощью Sophos Firewall.
  3. Нажмите на кнопку Запуск.

    Выбранный плейбук запустит скрипт для реагирования с помощью Sophos Firewall.

    Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Результат запуска плейбука доступен в деталях алерта или инцидента на вкладке История.

В начало
[Topic 291060]