Aller au contenu
Découvrez comment nous prenons en charge MDR.

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=cisco-meraki-api-overview

Intégration de l’API Cisco Meraki

Vous pouvez intégrer Cisco Meraki à Sophos Central afin de lui permettre d’envoyer des alertes à Sophos pour analyse.

Cette page vous donne une vue générale de l’intégration.

Présentation du produit Cisco Meraki

Cisco Meraki offre une solution de pare-feu gérée dans le cloud qui s’intègre à la suite plus large de produits réseau Meraki. La plate-forme elle-même fournit une gestion, une visibilité et un contrôle centralisés.

Documents Sophos

Intégrer Cisco Meraki (API)

Ce que nous ingérons

Exemples d’alertes vues par Sophos :

  • Accès aux malwares
  • Tentatives de connexion par force brute
  • Trafic C2
  • Connexions sortantes de Cryptocurrency Miner
  • Tentatives d’ingestion SQL

Alertes ingérées dans leur intégralité

Nous ingérons tous les événements de sécurité renvoyés par la demande configurée ici : Obtenir les événements de sécurité de l’appliance de l’organisation

Filtrage

Nous interrogeons le terminal /organizations/{organizationId}/appliance/security/events.

Nous filtrons les résultats pour supprimer les données fournies dans un format non conforme.

Exemples de mappages de menaces

Le type d’alerte est défini comme suit :

Si le champ message n’est pas vide, recherchez des expressions régulières spécifiques dans message à l’aide des listes fournies (_.referenceValues.code_translation.regex_alert_type et _.globalReferenceValues.code_translation.regex_alert_type). Si une correspondance est trouvée, renvoyez le résultat, sinon, renvoyez le message d’origine.

Si le champ message est vide, vérifiez que le champ eventType soit bien renseigné. S’il n’est pas vide, effectuez une recherche similaire pour les expressions régulières dans eventType. Si une correspondance est trouvée, renvoyez le résultat, sinon, renvoyez le eventType d’origine.

Si les champs message et eventType sont vides, renvoyez undefined.

Exemples mappés sur MITRE ATT&CK :

{"alertType": "MySQL Login Attempt", "threatId": "TA0008", "threatName": "Lateral Movement"}
{"alertType": "TFTP request", "threatId": "T1046", "threatName": "Network Service Scanning"}
{"alertType": "Canary Disconnected", "threatId": "T1489", "threatName": "Service Stop"}

Documentation fournisseur