Cisco Meraki 整合(記錄 收集器)
您可以將 Cisco Meraki 與Sophos Central集成,以便將其向Sophos發送警報進行分析。
本頁面提供此整合功能的概覽。
Cisco Meraki 產品概述
Cisco Meraki 提供雲端管理防火牆解決方案,該解決方案與 Meraki 更廣泛的網路產品套件整合。該平台本身提供集中管理、可見性和控制。
Sophos 說明文件
我們擷取的內容
Sophos 可擷取的範例警示包括:
- 惡意軟體訪問
- 暴力破解登入嘗試
- C2 交通
- 加密貨幣礦工出站連接
- SQL 資料導入嘗試
- ids-alerts
- security_event ids_alerted
- security_event security_filtering_file_scanned
- security_event security_filtering_disposition_change
完整擷取警示
我們會接收此處設定的查詢所傳回的所有安全事件:取得組織設備安全事件。
這些事件與 Cisco Meraki API 整合所接收的事件相同。
我們也會攝取額外的事件日誌和一些流程警報。
資料篩選
我們建議您將 Meraki 設備設定為向 syslog 收集器發送以下資料:
- 安全事件
- 設備事件記錄
- 流量
- IDS警報
代理程式篩選
我們以以下方式篩選結果:
- 我們刪除例行流程日誌(允許、丟棄和來源)。
- 我們丟棄
ip_flow_start和ip_flow_endlogs。 - 我們刪除了
URL日誌
威脅對應範例
警示類型定義如下:
如果欄位 message 不為空,則使用提供的清單(_.referenceValues.code_translation.regex_alert_type 和 _.globalReferenceValues.code_translation.regex_alert_type)在 message 中搜尋特定的正規表示式。如果找到匹配項,則傳回結果;否則,傳回原始 訊息。
如果 訊息 為空,請檢查欄位 eventType 是否為空。如果不為空,則對 eventType中的正規表示式執行類似的搜尋。如果找到符合項,則傳回結果;否則,傳回原始 事件類型。
如果 message 和 eventType 都為空,則傳回 undefined。
{"alertType":"MySQL Login Attempt", "threatId":"TA0008", "threatName":"Lateral Movement"}
{"alertType":"TFTP request", "threatId":"T1046", "threatName":"Network Service Scanning"}
{"alertType":"Canary Disconnected", "threatId":"T1489", "threatName":"Service Stop"}