Intégration Cisco Meraki (collecteur de journaux)
Vous pouvez intégrer Cisco Meraki à Sophos Central afin de lui permettre d’envoyer des alertes à Sophos pour analyse.
Cette page vous donne une vue générale de l’intégration.
Présentation du produit Cisco Meraki
Cisco Meraki offre une solution de pare-feu gérée dans le cloud qui s’intègre à la suite plus large de produits réseau Meraki. La plate-forme elle-même fournit une gestion, une visibilité et un contrôle centralisés.
Documents Sophos
Intégrer Cisco Meraki (Collecteur de journaux)
Ce que nous ingérons
Exemples d’alertes vues par Sophos :
- Accès aux malwares
- Tentatives de connexion par force brute
- Trafic C2
- Connexions sortantes de Cryptocurrency Miner
- Tentatives d’ingestion SQL
- ids-alerts
- security_event ids_alerted
- security_event security_filtering_file_scanned
- security_event security_filtering_disposition_change
Alertes ingérées dans leur intégralité
Nous ingérons tous les événements de sécurité renvoyés par la demande configurée ici : Obtenir les événements de sécurité de l’appliance de l’organisation.
Il s’agit des mêmes événements que ceux ingérés par l’intégration de l’API Cisco Meraki.
Nous ingérons également des journaux d’événements supplémentaires et certaines alertes de flux.
Filtrage
Nous vous recommandons de configurer l’appliance Meraki pour envoyer les données suivantes au collecteur syslog :
- Événements de sécurité
- Journal des événements de l’appliance
- Flux
- Alertes IDS
Filtre d’agent
Nous filtrons les résultats de la manière suivante :
- Nous INJECTONS les journaux de flux de routine (autorisé, injecté et src).
- Nous INJECTONS
ip_flow_start
,ip_flow_endlogs
- Nous INJECTONS des journaux
urls
Exemples de mappages de menaces
Le type d’alerte est défini comme suit :
Si le champ message
n’est pas vide, recherchez des expressions régulières spécifiques dans message
à l’aide des listes fournies (_.referenceValues.code_translation.regex_alert_type
et _.globalReferenceValues.code_translation.regex_alert_type
). Si une correspondance est trouvée, renvoyez le résultat, sinon, renvoyez le message
d’origine.
Si le champ message
est vide, vérifiez que le champ eventType
soit bien renseigné. S’il n’est pas vide, effectuez une recherche similaire pour les expressions régulières dans eventType
. Si une correspondance est trouvée, renvoyez le résultat, sinon, renvoyez le eventType
d’origine.
Si les champs message
et eventType
sont vides, renvoyez undefined
.
{"alertType": "MySQL Login Attempt", "threatId": "TA0008", "threatName": "Lateral Movement"}
{"alertType": "TFTP request", "threatId": "T1046", "threatName": "Network Service Scanning"}
{"alertType": "Canary Disconnected", "threatId": "T1489", "threatName": "Service Stop"}