Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=cisco-meraki-api-overview

Integración de la API de Cisco Meraki

API Firewall

Puede integrar Cisco Meraki con Sophos Central para que envíe alertas a Sophos para analizarlos.

Esta página presenta una visión general de la integración.

Resumen del producto Cisco Meraki

Cisco Meraki ofrece una solución de firewall gestionada en la nube que se integra con la suite más amplia de productos de red de Meraki. La propia plataforma ofrece gestión, visibilidad y control centralizados.

Documentos de Sophos

Integrar Cisco Meraki (API)

Datos que ingerimos

Ejemplos de alertas vistas por Sophos:

  • Acceso de malware
  • Intentos de inicio de sesión por fuerza bruta
  • Tráfico C2
  • Conexiones salientes de extractores de criptomonedas
  • Intentos de ingestión de SQL

Alertas ingeridas en su totalidad

Ingerimos todos los eventos de seguridad devueltos por la consulta configurada aquí: Obtener eventos de seguridad de dispositivos de organización

Filtrado

Consultamos la estación de trabajo /organizations/{organizationId}/appliance/security/events.

Filtramos los resultados para eliminar los datos proporcionados en un formato no conforme.

Muestra de asignaciones de amenazas

El tipo de alerta se define de la siguiente manera:

Si el campo message no está vacío, buscar expresiones regulares específicas en message usando las listas proporcionadas (_.referenceValues.code_translation.regex_alert_type y _.globalReferenceValues.code_translation.regex_alert_type). Si se encuentra una coincidencia, devolver el resultado; de lo contrario, devolver el original message.

Si message está vacío, comprobar que el campo eventType no esté vacío. Si no está vacío, realizar una búsqueda similar de expresiones regulares en eventType. Si se encuentra una coincidencia, devolver el resultado; de lo contrario, devolver el original eventType.

Si tanto message como eventType están vacíos, devolver undefined.

Ejemplos asignados a MITRE ATT&CK:

{"alertType": "MySQL Login Attempt", "threatId": "TA0008", "threatName": "Lateral Movement"}
{"alertType": "TFTP request", "threatId": "T1046", "threatName": "Network Service Scanning"}
{"alertType": "Canary Disconnected", "threatId": "T1489", "threatName": "Service Stop"}

Documentación del proveedor