Cisco Meraki集成(日誌收集器)
您可以將 Cisco Meraki 與 Sophos Central 整合,以便其將資料傳送到 Sophos 進行分析。
此頁面提供集成的概述。
Cisco Meraki產品概述
Cisco Meraki 提供雲端管理防火牆解決方案,該解決方案與 Meraki 更廣泛的網路產品套件整合。該平台本身提供集中管理、可見性和控制。
Sophos文檔
我們攝取的東西
Sophos看到的示例警報:
- 已訪問惡意軟體
- 強力登入嘗試
- C2流量
- Cryptocurrency Miner出站連接
- SQL攝取嘗試
- IDS警報
- security_event IDs_alerted
- security_event security_filtering_file
- security_event security_filtering_
已擷取完整警示
我們會擷取在此處設定的查詢所傳回的所有安全性事件:獲取組織設備安全事件。
這些事件與Cisco Meraki API集成所採集的事件相同。
我們也會擷取額外的事件記錄和一些流量警示。
篩選
我們建議您配置Meraki設備以將以下數據發送到syslog收集器:
- 安全事件
- 設備事件日誌
- 流量
- IDS 警示
代理過濾器
我們按以下方式篩選結果:
- 我們丟棄例程流日誌(允許,丟棄和src)。
- 我們放棄
ip_flow_start
,ip_flow_endlogs
- 我們丟棄
urls
日誌
威脅映射示例
警報類型定義如下:
如果欄位 message
不為空,則 message
使用提供的列表(_.referenceValues.code_translation.regex_alert_type
和 _.globalReferenceValues.code_translation.regex_alert_type
)中的特定正則表達式的搜尋。如果找到匹配項,則返回結果;否則返回原始 message
。
如果 message
為空,請檢查該欄位 eventType
是否為空。如果不為空,請對中的正則表達式執行類似的搜尋 eventType
。如果找到匹配項,則返回結果;否則返回原始 eventType
。
如果 message
和 eventType
都是空的,則返回 undefined
。
{"alertType": "MySQL登入嘗試","ThreatId":"TA0008", "threatName": "Lateral Movement"}
{"alertType": "TFTP請求","ThreatId":"T1046", "threatName": "Network Service Scanning"}
{"alertType": “Canary Disconnected”,“ThreatId”:"T1489", "threatName": "Service Stop"}
供應商文檔
請參閱 Syslog 伺服器概述和設定。