Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 3597 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Making a Soltra box talk to Sophos UTM

Janfebmar
Hi,

I am not sure how many of you are aware of the Stix & Taxii frameworks, but what I would love to do is to setup a Soltra www.soltra.com box that is setup to receive Intel-feeds and then feed that Intel to Sophos UTM.

I would have to convert the Stix dataset to something readable to Snort. But how easy would this be to setup with Sophos UTM?

Anyone has experience about feeding Snort inside Sophos UTM some data? Or some firewall rules in the UTM as well.


This thread was automatically locked due to age.
  • 0
    Afternoon,

    If you want to experiment with the concept, feel free to mess around inside a software install with a home license. The UTM runs SLES (SUSE Linux Enterprise) as it's core so tools for the base OS can be found.

    However, and I can't stress this enough. Do NOT experiment on a box you have a commercial license for. Any changes made under the hood without the express okay from Sophos support will void your support contract.
  • 0
    But how easy would this be to setup with Sophos UTM
    Not easy at all.  UTM is customized and officially any user customization is disallowed.  The warning Andrew posted very much applies.
  • 0
    Ah. Well, that makes it harder.

    Would love me some Intel-feeds sent to Snort. 
    Anyone know if Sophos has any plans to support Soltra-feeds, then? Preferably using STIX & TAXII.
  • 0
    Anyone know if Sophos has any plans to support Soltra-feeds
    Not on the radar at this time, as Soltra is a very new and not well known player in the marketplace.  If you'd like Sophos to be aware, make a feature request at UTM (Formerly ASG) Feature Requests: Hot (1978 ideas)  [:)]

    What may work for you is to feed both UTM log entries and the Soltra data into Splunk as a central collection point.
  • 0
    Snort is not designed to receive alerts from another system; snort looks at network traffic and creates its own alerts. There is no (report) format "readable to snort".

    What you are looking for is a Security Information Management (SIM) system.
    Look at Splunk, OSSIM (and maybe OSSEC), Loggly, ...

    Barry