Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Integration von Cisco Meraki (Protokollsammler)

Sie können Cisco Meraki in Sophos Central integrieren, sodass Warnmeldungen an Sophos zur Analyse gesendet werden.

Auf dieser Seite erhalten Sie einen Überblick über die Integration.

Cisco Meraki-Produktübersicht

Cisco Meraki bietet eine Cloud-basierte Firewall-Verwaltungslösung, die sich in das Portfolio der Netzwerkprodukte von Meraki integrieren lässt. Die Plattform selbst bietet eine zentrale Verwaltung, Transparenz und Kontrolle.

Sophos-Dokumente

Cisco Meraki (Protokollsammler) integrieren

Was wir erfassen

Beispiel für Warnmeldungen, die Sophos gesehen hat:

  • Auf Malware zugegriffen
  • Brute-Force-Anmeldeversuche
  • C2-Datenverkehr
  • Ausgehende Verbindungen von Cryptocurrency Miner
  • SQL-Aufnahmeversuche
  • ids-alerts
  • security_event ids_alerted
  • security_event security_filtering_file_scanned
  • security_event security_filtering_disposition_change

Alarme werden vollständig erfasst

Wir erfassen alle Sicherheitsereignisse, die von der hier eingerichteten Abfrage zurückgegeben werden: Sicherheitsereignisse für Organization Appliance abrufen.

Dabei handelt es sich um dieselben Ereignisse, die von der Cisco Meraki API-Integration erfasst werden.

Wir erfassen auch zusätzliche Ereignisprotokolle und einige Flow-Warnmeldungen.

Filterung

Wir empfehlen, dass Sie die Meraki Appliance so konfigurieren, dass die folgenden Daten an den Syslog Collector gesendet werden:

  • Sicherheitsereignisse
  • Ereignisprotokoll der Appliance
  • Flüsse
  • IDS-Benachrichtigungen

Agent-Filter

Die Ergebnisse werden wie folgt gefiltert:

  • Wir VERWERFEN Routine-Flussprotokolle (Zulassen, Verwerfen, Quelle).
  • Wir VERWERFEN ip_flow_start, ip_flow_endlogs
  • Wir VERWERFEN urls-Protokolle

Beispiele für Bedrohungszuordnungen

Der Warnmeldungstyp wird wie folgt definiert:

Wenn das Feld message nicht leer ist, suchen Sie in message anhand der bereitgestellten Listen (_.referenceValues.code_translation.regex_alert_type und _.globalReferenceValues.code_translation.regex_alert_type) nach bestimmten regulären Ausdrücken. Wenn eine Übereinstimmung gefunden wird, Ergebnis zurückgeben, andernfalls Original-message zurückgeben.

Wenn message leer ist, prüfen, ob das Feld eventType leer ist. Wenn es nicht leer ist, eine ähnliche Suche nach regulären Ausdrücken in eventType durchführen. Wenn eine Übereinstimmung gefunden wird, Ergebnis zurückgeben, andernfalls Original-eventType zurückgeben.

Wenn message und eventType leer sind, undefined zurückgeben.

{"alertType": "MySQL Login Attempt", "threatId": "TA0008", "threatName": "Lateral Movement"}
{"alertType": "TFTP request", "threatId": "T1046", "threatName": "Network Service Scanning"}
{"alertType": "Canary Disconnected", "threatId": "T1489", "threatName": "Service Stop"}

Herstellerdokumentation

Syslog-Server: Übersicht und Konfiguration