Cisco Meraki API の統合
Cisco Meraki を Sophos Central と統合して、ソフォスでの解析用に警告を送信することができます。
このページでは、統合の概要を説明します。
Cisco Meraki 製品の概要
Cisco Meraki は、Meraki の幅広いネットワーク製品スイートと統合するクラウド管理型ファイアウォールソリューションを提供します。プラットフォーム自体は、一元管理、可視性、および制御を提供します。
ソフォス製品ドキュメント
取り込まれる内容
ソフォスで表示される警告の例:
- マルウェアによるアクセス
- ブルートフォースログイン試行
- C2 トラフィック
- Cryptocurrency Miner 送信接続
- SQL の取り込み試行
完全に取り込まれる警告
ここで設定したクエリによって返されるすべてのセキュリティイベントを取り込みます。Get Organization Appliance Security Events
フィルタリング
エンドポイントの /organizations/{organizationId}/appliance/security/events のクエリを実行します。
結果をフィルタリングして、非準拠の形式で提供されたデータを削除します。
脅威マッピングの例
警告の種類は次のように定義されます。
フィールド message が空でない場合は、 指定されたリスト (_.referenceValues.code_translation.regex_alert_type および _.globalReferenceValues.code_translation.regex_alert_type) を使用して、message 内の特定の正規表現を検索します。一致するものが見つかった場合は結果を返し、それ以外の場合は元の message を返します。
message が空の場合は、フィールド eventType が空でないことを確認します。空でない場合は、eventType で同様の正規表現検索を実行します 。一致するものが見つかった場合は結果を返し、それ以外の場合は元の eventType を返します。
message との両方 eventType が空の場合は、undefined を返します 。
MITRE ATT&CK にマッピングされた例:
{"alertType": "MySQL Login Attempt", "threatId": "TA0008", "threatName": "Lateral Movement"}
{"alertType": "TFTP request", "threatId": "T1046", "threatName": "Network Service Scanning"}
{"alertType": "Canary Disconnected", "threatId": "T1489", "threatName": "Service Stop"}