Cisco Meraki API 통합
Sophos Central에 Cisco Meraki를 통합하면 Sophos로 데이터를 전송하여 분석할 수 있습니다.
이 페이지에서는 통합에 대한 개요를 제공합니다.
Cisco Meraki 제품 개요
Cisco Meraki는 Meraki의 광범위한 네트워크 제품군과 통합되는 클라우드 관리형 방화벽 솔루션을 제공합니다. 플랫폼 자체가 중앙 집중식 관리, 가시성 및 제어 기능을 제공합니다.
Sophos 문서
우리가 섭취하는 것
Sophos에서 볼 수 있는 샘플 경고:
- 악성 프로그램 액세스
- 무차별 암호 대입 로그인 시도
- C2 트래픽
- 암호화폐 마이너 아웃바운드 연결
- SQL 수집 시도
알림이 완전히 수집됨
여기에 설정된 쿼리에 의해 반환된 모든 보안 이벤트를 수집합니다. 조직 어플라이언스 보안 이벤트 가져오기
필터링
Endpoint /organizations/{organizationId}/appliance/security/events
를 쿼리합니다.
결과를 필터링하여 비준수 형식으로 제공된 데이터를 제거합니다.
위협 매핑 샘플
알림 유형은 다음과 같이 정의됩니다.
필드가 message
비어 있지 않으면 message
제공된 목록(_.referenceValues.code_translation.regex_alert_type
및 _.globalReferenceValues.code_translation.regex_alert_type
)을 사용하여 에서 특정 정규식을 검색합니다. 일치하는 항목이 있으면 결과를 반환하고, 그렇지 않으면 Original message
을 반환합니다.
message
가 비어 있으면 필드가 eventType
비어 있지 않은지 확인합니다. 비어 있지 않으면 에서 정규식에 대해 비슷한 검색을 eventType
수행합니다. 일치하는 항목이 있으면 결과를 반환하고, 그렇지 않으면 Original eventType
을 반환합니다.
message
및 가 모두 eventType
비어 있으면 undefined
를 반환합니다.
MITRE ATT&CK에 매핑된 예:
{"alertType": "MySQL Login Attempt", "threatId": "TA0008", "threatName": "Lateral Movement"}
{"alertType": "TFTP request", "threatId": "T1046", "threatName": "Network Service Scanning"}
{"alertType": "Canary Disconnected", "threatId": "T1489", "threatName": "Service Stop"}