Vai al contenuto
Il supporto che offriamo per MDR.

Integrazione di Cisco Meraki (Agente di raccolta log)

Cisco Meraki può essere integrata con Sophos Central per consentire l’invio di avvisi a Sophos, a scopo di analisi.

Questa pagina fornisce una panoramica dell’integrazione.

Panoramica del prodotto Cisco Meraki

Cisco Meraki offre una soluzione firewall gestita dal cloud che si integra con l’ampia suite di prodotti per la rete di Meraki. La piattaforma offre gestione centralizzata, visibilità e controllo.

Documenti Sophos

Integrazione di Cisco Meraki (Agente di raccolta log)

I dati raccolti e inseriti

Esempi di avvisi visualizzati da Sophos:

  • Malware accessed (Effettuato accesso al malware)
  • Brute force login attempts (Tentativi di accesso con attacco brute force)
  • Traffico C2
  • Cryptocurrency Miner outbound connections (Connessioni in uscita di miner di criptovalute)
  • SQL ingestion attempts (Tentativi di inserimento di SQL)
  • ids-alerts
  • security_event ids_alerted
  • security_event security_filtering_file_scanned
  • security_event security_filtering_disposition_change

Avvisi inseriti per intero

Inseriamo tutti gli eventi di sicurezza restituiti dalla query configurata qui: Ottenere gli eventi di sicurezza dell’appliance dell’organizzazione.

Sono gli stessi eventi inseriti dall’integrazione API Cisco Meraki.

Inoltre, inseriamo ulteriori log Eventi e alcuni avvisi relativi al flusso.

Filtraggio

Consigliamo di configurare l’appliance Meraki in modo che invii i seguenti dati all’agente di raccolta syslog:

  • Eventi di sicurezza
  • Log eventi dell’appliance
  • Flussi
  • Avvisi IDS

Filtro dell’agente

Filtriamo i risultati come segue:

  • Vengono RILASCIATI i log dei flussi di routine (consenti, rilascia e src).
  • Vengono RILASCIATI ip_flow_start, ip_flow_endlogs
  • Vengono RILASCIATI i log urls

Esempi di mapping delle minacce

Il tipo di avviso viene definito come segue:

Se il campo message non è vuoto, vengono cercate espressioni regolari specifiche in message utilizzando gli elenchi forniti (_.referenceValues.code_translation.regex_alert_type e _.globalReferenceValues.code_translation.regex_alert_type). Se viene trovata una corrispondenza, viene restituito il risultato; in caso contrario, viene restituito l’originale message.

Se message è vuoto, viene verificato che il campo eventType non sia vuoto. Se non è vuoto, viene eseguita una ricerca simile per le espressioni regolari in eventType. Se viene trovata una corrispondenza, viene restituito il risultato; in caso contrario, viene restituito l’originale eventType.

Se sia message che eventType sono vuoti, viene restituito undefined.

{"alertType": "MySQL Login Attempt", "threatId": "TA0008", "threatName": "Lateral Movement"}
{"alertType": "TFTP request", "threatId": "T1046", "threatName": "Network Service Scanning"}
{"alertType": "Canary Disconnected", "threatId": "T1489", "threatName": "Service Stop"}

Documentazione del vendor

Panoramica e configurazione dei server syslog