Cisco Meraki API集成
您可以將 Cisco Meraki 與 Sophos Central 整合,以便其將資料傳送到 Sophos 進行分析。
此頁面提供集成的概述。
Cisco Meraki產品概述
Cisco Meraki 提供雲端管理防火牆解決方案,該解決方案與 Meraki 更廣泛的網路產品套件整合。該平台本身提供集中管理、可見性和控制。
Sophos文檔
我們攝取的東西
Sophos看到的示例警報:
- 已訪問惡意軟體
- 強力登入嘗試
- C2流量
- Cryptocurrency Miner出站連接
- SQL攝取嘗試
已擷取完整警示
我們會擷取在此處設定的查詢所傳回的所有安全性事件:獲取組織設備安全事件
篩選
我們查詢端點 /organizations/{organizationId}/appliance/security/events。
我們會將結果篩選為以不合規格式提供的移除資料。
威脅映射示例
警報類型定義如下:
如果欄位 message 不為空,則 message 使用提供的列表(_.referenceValues.code_translation.regex_alert_type 和 _.globalReferenceValues.code_translation.regex_alert_type)中的特定正則表達式的搜尋。如果找到匹配項,則返回結果;否則返回原始 message。
如果 message 為空,請檢查該欄位 eventType 是否為空。如果不為空,請對中的正則表達式執行類似的搜尋 eventType。如果找到匹配項,則返回結果;否則返回原始 eventType。
如果 message 和 eventType 都是空的,則返回 undefined。
映射到MITRE ATT&CK的示例:
{"alertType": "MySQL登入嘗試","ThreatId":"TA0008", "threatName": "Lateral Movement"}
{"alertType": "TFTP請求","ThreatId":"T1046", "threatName": "Network Service Scanning"}
{"alertType": “Canary Disconnected”,“ThreatId”:"T1489", "threatName": "Service Stop"}