跳至內容
部分或全部頁面已經過機器翻譯。
了解我們如何支援MDR。

Cisco Meraki集成(日誌收集器)

您可以將 Cisco Meraki 與 Sophos Central 整合,以便其將資料傳送到 Sophos 進行分析。

此頁面提供集成的概述。

Cisco Meraki產品概述

Cisco Meraki 提供雲端管理防火牆解決方案,該解決方案與 Meraki 更廣泛的網路產品套件整合。該平台本身提供集中管理、可見性和控制。

Sophos文檔

集成Cisco Meraki (日誌收集器)

我們攝取的東西

Sophos看到的示例警報:

  • 已訪問惡意軟體
  • 強力登入嘗試
  • C2流量
  • Cryptocurrency Miner出站連接
  • SQL攝取嘗試
  • IDS警報
  • security_event IDs_alerted
  • security_event security_filtering_file
  • security_event security_filtering_

已擷取完整警示

我們會擷取在此處設定的查詢所傳回的所有安全性事件:獲取組織設備安全事件

這些事件與Cisco Meraki API集成所採集的事件相同。

我們也會擷取額外的事件記錄和一些流量警示。

篩選

我們建議您配置Meraki設備以將以下數據發送到syslog收集器:

  • 安全事件
  • 設備事件日誌
  • 流量
  • IDS 警示

代理過濾器

我們按以下方式篩選結果:

  • 我們丟棄例程流日誌(允許,丟棄和src)。
  • 我們放棄 ip_flow_startip_flow_endlogs
  • 我們丟棄 urls 日誌

威脅映射示例

警報類型定義如下:

如果欄位 message 不為空,則 message 使用提供的列表(_.referenceValues.code_translation.regex_alert_type_.globalReferenceValues.code_translation.regex_alert_type)中的特定正則表達式的搜尋。如果找到匹配項,則返回結果;否則返回原始 message

如果 message 為空,請檢查該欄位 eventType 是否為空。如果不為空,請對中的正則表達式執行類似的搜尋 eventType。如果找到匹配項,則返回結果;否則返回原始 eventType

如果 messageeventType 都是空的,則返回 undefined

{"alertType": "MySQL登入嘗試""ThreatId""TA0008", "threatName": "Lateral Movement"}
{"alertType": "TFTP請求""ThreatId""T1046", "threatName": "Network Service Scanning"}
{"alertType": “Canary Disconnected”,“ThreatId”:"T1489", "threatName": "Service Stop"}

供應商文檔

請參閱 Syslog 伺服器概述和設定