Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Integración de Cisco Meraki (recopilador de registros)

Puede integrar Cisco Meraki con Sophos Central para que envíe alertas a Sophos para analizarlos.

Esta página presenta una visión general de la integración.

Resumen del producto Cisco Meraki

Cisco Meraki ofrece una solución de firewall gestionada en la nube que se integra con la suite más amplia de productos de red de Meraki. La propia plataforma ofrece gestión, visibilidad y control centralizados.

Documentos de Sophos

Integrar Cisco Meraki (Recopilador de registros)

Datos que ingerimos

Ejemplos de alertas vistas por Sophos:

  • Acceso de malware
  • Intentos de inicio de sesión por fuerza bruta
  • Tráfico C2
  • Conexiones salientes de extractores de criptomonedas
  • Intentos de ingestión de SQL
  • ids-alerts
  • security_event ids_alerted
  • security_event security_filtering_file_scanned
  • security_event security_filtering_disposition_change

Alertas ingeridas en su totalidad

Ingerimos todos los eventos de seguridad devueltos por la consulta configurada aquí: Obtener eventos de seguridad de dispositivos de organización.

Estos son los mismos eventos que ingiere la integración de la API de Cisco Meraki.

También ingerimos registros de eventos adicionales y algunas alertas de flujo.

Filtrado

Le recomendamos que configure el dispositivo Meraki para que envíe los siguientes datos al recopilador de syslog:

  • Eventos de seguridad
  • Registro de eventos del dispositivo
  • Flujos
  • Alertas de IDS

Filtro de agente

Filtramos los resultados de la siguiente manera:

  • DESCARTAMOS registros de flujos rutinarios (permitir, descartar y src).
  • DESCARTAMOS ip_flow_start, ip_flow_endlogs
  • DESCARTAMOS registros urls

Muestra de asignaciones de amenazas

El tipo de alerta se define de la siguiente manera:

Si el campo message no está vacío, buscar expresiones regulares específicas en message usando las listas proporcionadas (_.referenceValues.code_translation.regex_alert_type y _.globalReferenceValues.code_translation.regex_alert_type). Si se encuentra una coincidencia, devolver el resultado; de lo contrario, devolver el original message.

Si message está vacío, comprobar que el campo eventType no esté vacío. Si no está vacío, realizar una búsqueda similar de expresiones regulares en eventType. Si se encuentra una coincidencia, devolver el resultado; de lo contrario, devolver el original eventType.

Si tanto message como eventType están vacíos, devolver undefined.

{"alertType": "MySQL Login Attempt", "threatId": "TA0008", "threatName": "Lateral Movement"}
{"alertType": "TFTP request", "threatId": "T1046", "threatName": "Network Service Scanning"}
{"alertType": "Canary Disconnected", "threatId": "T1489", "threatName": "Service Stop"}

Documentación del proveedor

Introducción y configuración de servidores de Syslog.