주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.
MDR을 지원하는 방법에 대해 알아보십시오.

Cisco Meraki API 통합

Sophos Central에 Cisco Meraki를 통합하면 Sophos로 데이터를 전송하여 분석할 수 있습니다.

이 페이지에서는 통합에 대한 개요를 제공합니다.

Cisco Meraki 제품 개요

Cisco Meraki는 Meraki의 광범위한 네트워크 제품군과 통합되는 클라우드 관리형 방화벽 솔루션을 제공합니다. 플랫폼 자체가 중앙 집중식 관리, 가시성 및 제어 기능을 제공합니다.

Sophos 문서

Cisco Meraki(API) 통합

우리가 섭취하는 것

Sophos에서 볼 수 있는 샘플 경고:

  • 악성 프로그램 액세스
  • 무차별 암호 대입 로그인 시도
  • C2 트래픽
  • 암호화폐 마이너 아웃바운드 연결
  • SQL 수집 시도

알림이 완전히 수집됨

여기에 설정된 쿼리에 의해 반환된 모든 보안 이벤트를 수집합니다. 조직 어플라이언스 보안 이벤트 가져오기

필터링

Endpoint /organizations/{organizationId}/appliance/security/events를 쿼리합니다.

결과를 필터링하여 비준수 형식으로 제공된 데이터를 제거합니다.

위협 매핑 샘플

알림 유형은 다음과 같이 정의됩니다.

필드가 message 비어 있지 않으면 message 제공된 목록(_.referenceValues.code_translation.regex_alert_type_.globalReferenceValues.code_translation.regex_alert_type)을 사용하여 에서 특정 정규식을 검색합니다. 일치하는 항목이 있으면 결과를 반환하고, 그렇지 않으면 Original message을 반환합니다.

message 가 비어 있으면 필드가 eventType 비어 있지 않은지 확인합니다. 비어 있지 않으면 에서 정규식에 대해 비슷한 검색을 eventType수행합니다. 일치하는 항목이 있으면 결과를 반환하고, 그렇지 않으면 Original eventType을 반환합니다.

message 및 가 모두 eventType 비어 있으면 undefined를 반환합니다.

MITRE ATT&CK에 매핑된 예:

{"alertType": "MySQL Login Attempt", "threatId": "TA0008", "threatName": "Lateral Movement"}
{"alertType": "TFTP request", "threatId": "T1046", "threatName": "Network Service Scanning"}
{"alertType": "Canary Disconnected", "threatId": "T1489", "threatName": "Service Stop"}

공급업체 설명서