Aller au contenu
Découvrez comment nous prenons en charge MDR.

Intégration Cisco Meraki (collecteur de journaux)

Vous pouvez intégrer Cisco Meraki à Sophos Central afin de lui permettre d’envoyer des alertes à Sophos pour analyse.

Cette page vous donne une vue générale de l’intégration.

Présentation du produit Cisco Meraki

Cisco Meraki offre une solution de pare-feu gérée dans le cloud qui s’intègre à la suite plus large de produits réseau Meraki. La plate-forme elle-même fournit une gestion, une visibilité et un contrôle centralisés.

Documents Sophos

Intégrer Cisco Meraki (Collecteur de journaux)

Ce que nous ingérons

Exemples d’alertes vues par Sophos :

  • Accès aux malwares
  • Tentatives de connexion par force brute
  • Trafic C2
  • Connexions sortantes de Cryptocurrency Miner
  • Tentatives d’ingestion SQL
  • ids-alerts
  • security_event ids_alerted
  • security_event security_filtering_file_scanned
  • security_event security_filtering_disposition_change

Alertes ingérées dans leur intégralité

Nous ingérons tous les événements de sécurité renvoyés par la demande configurée ici : Obtenir les événements de sécurité de l’appliance de l’organisation.

Il s’agit des mêmes événements que ceux ingérés par l’intégration de l’API Cisco Meraki.

Nous ingérons également des journaux d’événements supplémentaires et certaines alertes de flux.

Filtrage

Nous vous recommandons de configurer l’appliance Meraki pour envoyer les données suivantes au collecteur syslog :

  • Événements de sécurité
  • Journal des événements de l’appliance
  • Flux
  • Alertes IDS

Filtre d’agent

Nous filtrons les résultats de la manière suivante :

  • Nous INJECTONS les journaux de flux de routine (autorisé, injecté et src).
  • Nous INJECTONS ip_flow_start, ip_flow_endlogs
  • Nous INJECTONS des journaux urls

Exemples de mappages de menaces

Le type d’alerte est défini comme suit :

Si le champ message n’est pas vide, recherchez des expressions régulières spécifiques dans message à l’aide des listes fournies (_.referenceValues.code_translation.regex_alert_type et _.globalReferenceValues.code_translation.regex_alert_type). Si une correspondance est trouvée, renvoyez le résultat, sinon, renvoyez le message d’origine.

Si le champ message est vide, vérifiez que le champ eventType soit bien renseigné. S’il n’est pas vide, effectuez une recherche similaire pour les expressions régulières dans eventType. Si une correspondance est trouvée, renvoyez le résultat, sinon, renvoyez le eventType d’origine.

Si les champs message et eventType sont vides, renvoyez undefined.

{"alertType": "MySQL Login Attempt", "threatId": "TA0008", "threatName": "Lateral Movement"}
{"alertType": "TFTP request", "threatId": "T1046", "threatName": "Network Service Scanning"}
{"alertType": "Canary Disconnected", "threatId": "T1489", "threatName": "Service Stop"}

Documentation fournisseur

Présentation et configuration du serveur Syslog