Integración de Cisco Meraki (recopilador de registros)
Puede integrar Cisco Meraki con Sophos Central para que envíe alertas a Sophos para analizarlos.
Esta página presenta una visión general de la integración.
Resumen del producto Cisco Meraki
Cisco Meraki ofrece una solución de firewall gestionada en la nube que se integra con la suite más amplia de productos de red de Meraki. La propia plataforma ofrece gestión, visibilidad y control centralizados.
Documentos de Sophos
Integrar Cisco Meraki (Recopilador de registros)
Datos que ingerimos
Ejemplos de alertas vistas por Sophos:
- Acceso de malware
- Intentos de inicio de sesión por fuerza bruta
- Tráfico C2
- Conexiones salientes de extractores de criptomonedas
- Intentos de ingestión de SQL
- ids-alerts
- security_event ids_alerted
- security_event security_filtering_file_scanned
- security_event security_filtering_disposition_change
Alertas ingeridas en su totalidad
Ingerimos todos los eventos de seguridad devueltos por la consulta configurada aquí: Obtener eventos de seguridad de dispositivos de organización.
Estos son los mismos eventos que ingiere la integración de la API de Cisco Meraki.
También ingerimos registros de eventos adicionales y algunas alertas de flujo.
Filtrado
Le recomendamos que configure el dispositivo Meraki para que envíe los siguientes datos al recopilador de syslog:
- Eventos de seguridad
- Registro de eventos del dispositivo
- Flujos
- Alertas de IDS
Filtro de agente
Filtramos los resultados de la siguiente manera:
- DESCARTAMOS registros de flujos rutinarios (permitir, descartar y src).
- DESCARTAMOS
ip_flow_start
,ip_flow_endlogs
- DESCARTAMOS registros
urls
Muestra de asignaciones de amenazas
El tipo de alerta se define de la siguiente manera:
Si el campo message
no está vacío, buscar expresiones regulares específicas en message
usando las listas proporcionadas (_.referenceValues.code_translation.regex_alert_type
y _.globalReferenceValues.code_translation.regex_alert_type
). Si se encuentra una coincidencia, devolver el resultado; de lo contrario, devolver el original message
.
Si message
está vacío, comprobar que el campo eventType
no esté vacío. Si no está vacío, realizar una búsqueda similar de expresiones regulares en eventType
. Si se encuentra una coincidencia, devolver el resultado; de lo contrario, devolver el original eventType
.
Si tanto message
como eventType
están vacíos, devolver undefined
.
{"alertType": "MySQL Login Attempt", "threatId": "TA0008", "threatName": "Lateral Movement"}
{"alertType": "TFTP request", "threatId": "T1046", "threatName": "Network Service Scanning"}
{"alertType": "Canary Disconnected", "threatId": "T1489", "threatName": "Service Stop"}