Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=cisco-meraki-api-overview

Cisco Meraki API-Integration

API Firewall

Sie können Cisco Meraki in Sophos Central integrieren, sodass Warnmeldungen an Sophos zur Analyse gesendet werden.

Auf dieser Seite erhalten Sie einen Überblick über die Integration.

Cisco Meraki-Produktübersicht

Cisco Meraki bietet eine Cloud-basierte Firewall-Verwaltungslösung, die sich in das Portfolio der Netzwerkprodukte von Meraki integrieren lässt. Die Plattform selbst bietet eine zentrale Verwaltung, Transparenz und Kontrolle.

Sophos-Dokumente

Cisco Meraki (API) integrieren

Was wir erfassen

Beispiel für Warnmeldungen, die Sophos gesehen hat:

  • Auf Malware zugegriffen
  • Brute-Force-Anmeldeversuche
  • C2-Datenverkehr
  • Ausgehende Verbindungen von Cryptocurrency Miner
  • SQL-Aufnahmeversuche

Alarme werden vollständig erfasst

Wir erfassen alle Sicherheitsereignisse, die von der hier eingerichteten Abfrage zurückgegeben werden: Sicherheitsereignisse für Organization Appliance abrufen

Filterung

Wir fragen den Endpoint /organizations/{organizationId}/appliance/security/events ab.

Wir filtern die Ergebnisse, um Daten zu entfernen, die in einem nicht konformen Format bereitgestellt wurden.

Beispiele für Bedrohungszuordnungen

Der Warnmeldungstyp wird wie folgt definiert:

Wenn das Feld message nicht leer ist, suchen Sie in message anhand der bereitgestellten Listen (_.referenceValues.code_translation.regex_alert_type und _.globalReferenceValues.code_translation.regex_alert_type) nach bestimmten regulären Ausdrücken. Wenn eine Übereinstimmung gefunden wird, Ergebnis zurückgeben, andernfalls Original-message zurückgeben.

Wenn message leer ist, prüfen, ob das Feld eventType leer ist. Wenn es nicht leer ist, eine ähnliche Suche nach regulären Ausdrücken in eventType durchführen. Wenn eine Übereinstimmung gefunden wird, Ergebnis zurückgeben, andernfalls Original-eventType zurückgeben.

Wenn message und eventType leer sind, undefined zurückgeben.

Beispiele, die MITRE ATT&CK zugeordnet sind:

{"alertType": "MySQL Login Attempt", "threatId": "TA0008", "threatName": "Lateral Movement"}
{"alertType": "TFTP request", "threatId": "T1046", "threatName": "Network Service Scanning"}
{"alertType": "Canary Disconnected", "threatId": "T1489", "threatName": "Service Stop"}

Herstellerdokumentation