Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=cisco-meraki-api-overview

Integrazione Cisco Meraki API

Cisco Meraki può essere integrata con Sophos Central per consentire l’invio di avvisi a Sophos, a scopo di analisi.

Questa pagina fornisce una panoramica dell’integrazione.

Panoramica del prodotto Cisco Meraki

Cisco Meraki offre una soluzione firewall gestita dal cloud che si integra con l’ampia suite di prodotti per la rete di Meraki. La piattaforma offre gestione centralizzata, visibilità e controllo.

Documenti Sophos

Integrazione di Cisco Meraki (API)

I dati raccolti e inseriti

Esempi di avvisi visualizzati da Sophos:

  • Malware accessed (Effettuato accesso al malware)
  • Brute force login attempts (Tentativi di accesso con attacco brute force)
  • Traffico C2
  • Cryptocurrency Miner outbound connections (Connessioni in uscita di miner di criptovalute)
  • SQL ingestion attempts (Tentativi di inserimento di SQL)

Avvisi inseriti per intero

Inseriamo tutti gli eventi di sicurezza restituiti dalla query configurata qui: Ottenere eventi di sicurezza dell’appliance dell’organizzazione

Filtraggio

Vengono eseguite query sull’endpoint /organizations/{organizationId}/appliance/security/events.

Filtriamo i risultati per rimuovere i dati forniti in un formato non conforme.

Esempi di mapping delle minacce

Il tipo di avviso viene definito come segue:

Se il campo message non è vuoto, vengono cercate espressioni regolari specifiche in message utilizzando gli elenchi forniti (_.referenceValues.code_translation.regex_alert_type e _.globalReferenceValues.code_translation.regex_alert_type). Se viene trovata una corrispondenza, viene restituito il risultato; in caso contrario, viene restituito l’originale message.

Se message è vuoto, viene verificato che il campo eventType non sia vuoto. Se non è vuoto, viene eseguita una ricerca simile per le espressioni regolari in eventType. Se viene trovata una corrispondenza, viene restituito il risultato; in caso contrario, viene restituito l’originale eventType.

Se sia message che eventType sono vuoti, viene restituito undefined.

Esempi mappati a MITRE ATT&CK:

{"alertType": "MySQL Login Attempt", "threatId": "TA0008", "threatName": "Lateral Movement"}
{"alertType": "TFTP request", "threatId": "T1046", "threatName": "Network Service Scanning"}
{"alertType": "Canary Disconnected", "threatId": "T1489", "threatName": "Service Stop"}

Documentazione del vendor