Integration von Cisco Meraki (Protokollsammler)
Sie können Cisco Meraki in Sophos Central integrieren, sodass Warnmeldungen an Sophos zur Analyse gesendet werden.
Auf dieser Seite erhalten Sie einen Überblick über die Integration.
Cisco Meraki-Produktübersicht
Cisco Meraki bietet eine Cloud-basierte Firewall-Verwaltungslösung, die sich in das Portfolio der Netzwerkprodukte von Meraki integrieren lässt. Die Plattform selbst bietet eine zentrale Verwaltung, Transparenz und Kontrolle.
Sophos-Dokumente
Cisco Meraki (Protokollsammler) integrieren
Was wir erfassen
Beispiel für Warnmeldungen, die Sophos gesehen hat:
- Auf Malware zugegriffen
- Brute-Force-Anmeldeversuche
- C2-Datenverkehr
- Ausgehende Verbindungen von Cryptocurrency Miner
- SQL-Aufnahmeversuche
- ids-alerts
- security_event ids_alerted
- security_event security_filtering_file_scanned
- security_event security_filtering_disposition_change
Alarme werden vollständig erfasst
Wir erfassen alle Sicherheitsereignisse, die von der hier eingerichteten Abfrage zurückgegeben werden: Sicherheitsereignisse für Organization Appliance abrufen.
Dabei handelt es sich um dieselben Ereignisse, die von der Cisco Meraki API-Integration erfasst werden.
Wir erfassen auch zusätzliche Ereignisprotokolle und einige Flow-Warnmeldungen.
Filterung
Wir empfehlen, dass Sie die Meraki Appliance so konfigurieren, dass die folgenden Daten an den Syslog Collector gesendet werden:
- Sicherheitsereignisse
- Ereignisprotokoll der Appliance
- Flüsse
- IDS-Benachrichtigungen
Agent-Filter
Die Ergebnisse werden wie folgt gefiltert:
- Wir VERWERFEN Routine-Flussprotokolle (Zulassen, Verwerfen, Quelle).
- Wir VERWERFEN
ip_flow_start
,ip_flow_endlogs
- Wir VERWERFEN
urls
-Protokolle
Beispiele für Bedrohungszuordnungen
Der Warnmeldungstyp wird wie folgt definiert:
Wenn das Feld message
nicht leer ist, suchen Sie in message
anhand der bereitgestellten Listen (_.referenceValues.code_translation.regex_alert_type
und _.globalReferenceValues.code_translation.regex_alert_type
) nach bestimmten regulären Ausdrücken. Wenn eine Übereinstimmung gefunden wird, Ergebnis zurückgeben, andernfalls Original-message
zurückgeben.
Wenn message
leer ist, prüfen, ob das Feld eventType
leer ist. Wenn es nicht leer ist, eine ähnliche Suche nach regulären Ausdrücken in eventType
durchführen. Wenn eine Übereinstimmung gefunden wird, Ergebnis zurückgeben, andernfalls Original-eventType
zurückgeben.
Wenn message
und eventType
leer sind, undefined
zurückgeben.
{"alertType": "MySQL Login Attempt", "threatId": "TA0008", "threatName": "Lateral Movement"}
{"alertType": "TFTP request", "threatId": "T1046", "threatName": "Network Service Scanning"}
{"alertType": "Canary Disconnected", "threatId": "T1489", "threatName": "Service Stop"}