Cisco Meraki API 통합
Cisco Meraki를 Sophos Central 과 통합하면 분석을 위해 Sophos 로 경고를 전송할 수 있습니다.
이 페이지에서는 통합에 대한 개요를 제공합니다.
Cisco Meraki 제품 개요
Cisco Meraki는 Meraki의 광범위한 네트워크 제품군과 통합되는 클라우드 관리형 방화벽 솔루션을 제공합니다. 플랫폼 자체가 중앙 집중식 관리, 가시성 및 제어 기능을 제공합니다.
Sophos 문서
수집되는 것
Sophos에서 볼 수 있는 샘플 경고:
- Malware accessed
- Brute force login attempts
- C2 traffic
- Cryptocurrency Miner outbound connections
- SQL ingestion attempts
완전히 수집되는 경고
여기에 설정된 쿼리에서 반환되는 모든 보안 이벤트를 수집합니다. 조직 어플라이언스 보안 이벤트 가져오기
필터링
우리는 엔드포인트 /organizations/{organizationId}/ 어플라이언스/security/events를 조회합니다.
결과를 필터링하여 비준수 형식으로 제공된 데이터를 제거합니다.
샘플 위협 매핑
경고 유형은 다음과 같이 정의됩니다.
메시지 필드가 비어 있지 않으면 제공된 목록(_.referenceValues.code_translation.regex_alert_type 및 _.globalReferenceValues.code_translation.regex_alert_type)을 사용하여 메시지에서 특정 정규 표현식을 검색합니다. 일치하는 항목이 발견되면 결과를 반환하고, 그렇지 않으면 원래 메시지를 반환합니다.
메시지가 비어 있으면 eventType 필드가 비어 있지 않은지 확인하십시오. 비어 있지 않으면 eventType에서 정규 표현식에 대해 유사한 검색을 수행합니다. 일치하는 항목이 발견되면 결과를 반환하고, 그렇지 않으면 원래 eventType을 반환합니다.
메시지와 eventType가 모두 비어 있으면 undefined를 반환합니다.
MITRE ATT&CK 에 매핑된 예시:
{"alertType": "MySQL Login Attempt", "threatId": "TA0008", "threatName": "Lateral Movement"}
{"alertType": "TFTP request", "threatId": "T1046", "threatName": "Network Service Scanning"}
{"alertType": "Canary Disconnected", "threatId": "T1489", "threatName": "Service Stop"}