Cisco Meraki API 集成
您可以將 Cisco Meraki 與Sophos Central集成,以便將其向Sophos發送警報進行分析。
本頁面提供此整合功能的概覽。
Cisco Meraki 產品概述
Cisco Meraki 提供雲端管理防火牆解決方案,該解決方案與 Meraki 更廣泛的網路產品套件整合。該平台本身提供集中管理、可見性和控制。
Sophos 說明文件
我們擷取的內容
Sophos 可擷取的範例警示包括:
- 惡意軟體訪問
- 暴力破解登入嘗試
- C2 交通
- 加密貨幣礦工出站連接
- SQL 資料導入嘗試
完整擷取警示
我們會接收此處設定的查詢所傳回的所有安全事件:取得組織設備安全事件
資料篩選
我們查詢端點 /organizations/{organizationId}/appliance/security/events。
我們篩選結果以移除以不合規格式提供的資料。
威脅對應範例
警示類型定義如下:
如果欄位 message 不為空,則使用提供的清單(_.referenceValues.code_translation.regex_alert_type 和 _.globalReferenceValues.code_translation.regex_alert_type)在 message 中搜尋特定的正規表示式。如果找到匹配項,則傳回結果;否則,傳回原始 訊息。
如果 訊息 為空,請檢查欄位 eventType 是否為空。如果不為空,則對 eventType中的正規表示式執行類似的搜尋。如果找到符合項,則傳回結果;否則,傳回原始 事件類型。
如果 message 和 eventType 都為空,則傳回 undefined。
映射到MITRE ATT&CK 的範例:
{"alertType":"MySQL Login Attempt", "threatId":"TA0008", "threatName":"Lateral Movement"}
{"alertType":"TFTP request", "threatId":"T1046", "threatName":"Network Service Scanning"}
{"alertType":"Canary Disconnected", "threatId":"T1489", "threatName":"Service Stop"}