Integrazione di Cisco Meraki (Agente di raccolta log)
Cisco Meraki può essere integrata con Sophos Central per consentire l’invio di avvisi a Sophos, a scopo di analisi.
Questa pagina fornisce una panoramica dell’integrazione.
Panoramica del prodotto Cisco Meraki
Cisco Meraki offre una soluzione firewall gestita dal cloud che si integra con l’ampia suite di prodotti per la rete di Meraki. La piattaforma offre gestione centralizzata, visibilità e controllo.
Documenti Sophos
Integrazione di Cisco Meraki (Agente di raccolta log)
I dati raccolti e inseriti
Esempi di avvisi visualizzati da Sophos:
- Malware accessed (Effettuato accesso al malware)
- Brute force login attempts (Tentativi di accesso con attacco brute force)
- Traffico C2
- Cryptocurrency Miner outbound connections (Connessioni in uscita di miner di criptovalute)
- SQL ingestion attempts (Tentativi di inserimento di SQL)
- ids-alerts
- security_event ids_alerted
- security_event security_filtering_file_scanned
- security_event security_filtering_disposition_change
Avvisi inseriti per intero
Inseriamo tutti gli eventi di sicurezza restituiti dalla query configurata qui: Ottenere gli eventi di sicurezza dell’appliance dell’organizzazione.
Sono gli stessi eventi inseriti dall’integrazione API Cisco Meraki.
Inoltre, inseriamo ulteriori log Eventi e alcuni avvisi relativi al flusso.
Filtraggio
Consigliamo di configurare l’appliance Meraki in modo che invii i seguenti dati all’agente di raccolta syslog:
- Eventi di sicurezza
- Log eventi dell’appliance
- Flussi
- Avvisi IDS
Filtro dell’agente
Filtriamo i risultati come segue:
- Vengono RILASCIATI i log dei flussi di routine (consenti, rilascia e src).
- Vengono RILASCIATI
ip_flow_start
,ip_flow_endlogs
- Vengono RILASCIATI i log
urls
Esempi di mapping delle minacce
Il tipo di avviso viene definito come segue:
Se il campo message
non è vuoto, vengono cercate espressioni regolari specifiche in message
utilizzando gli elenchi forniti (_.referenceValues.code_translation.regex_alert_type
e _.globalReferenceValues.code_translation.regex_alert_type
). Se viene trovata una corrispondenza, viene restituito il risultato; in caso contrario, viene restituito l’originale message
.
Se message
è vuoto, viene verificato che il campo eventType
non sia vuoto. Se non è vuoto, viene eseguita una ricerca simile per le espressioni regolari in eventType
. Se viene trovata una corrispondenza, viene restituito il risultato; in caso contrario, viene restituito l’originale eventType
.
Se sia message
che eventType
sono vuoti, viene restituito undefined
.
{"alertType": "MySQL Login Attempt", "threatId": "TA0008", "threatName": "Lateral Movement"}
{"alertType": "TFTP request", "threatId": "T1046", "threatName": "Network Service Scanning"}
{"alertType": "Canary Disconnected", "threatId": "T1489", "threatName": "Service Stop"}