Cisco Meraki の統合 (ログコレクタ)
Cisco Meraki を Sophos Central と統合して、ソフォスでの解析用に警告を送信することができます。
このページでは、統合の概要を説明します。
Cisco Meraki 製品の概要
Cisco Meraki は、Meraki の幅広いネットワーク製品スイートと統合するクラウド管理型ファイアウォールソリューションを提供します。プラットフォーム自体は、一元管理、可視性、および制御を提供します。
ソフォス製品ドキュメント
取り込まれる内容
ソフォスで表示される警告の例:
- マルウェアによるアクセス
- ブルートフォースログイン試行
- C2 トラフィック
- Cryptocurrency Miner 送信接続
- SQL の取り込み試行
- ids-alerts
- security_event ids_alerted
- security_event security_filtering_file_scanned
- security_event security_filtering_disposition_change
完全に取り込まれる警告
ここで設定したクエリによって返されるすべてのセキュリティイベントを取り込みます。Get Organization Appliance Security Events.
これらのイベントは、Cisco Meraki API 統合によって取り込まれるイベントと同じです。
また、追加のイベントログといくつかのフロー警告も取り込みます。
フィルタリング
syslog コレクタに次のデータを送信するように Meraki アプライアンスを設定することを推奨します。
- セキュリティイベント
- アプライアンス イベント ログ
- フロー
- IDS 警告
エージェントフィルタ
結果は次のようにフィルタ処理されます。
- ルーチン フロー ログ (allow、drop、src) をドロップします。
ip_flow_start
、ip_flow_endlogs
をドロップします。urls
ログをドロップします。
脅威マッピングの例
警告の種類は次のように定義されます。
フィールド message
が空でない場合は、 指定されたリスト (_.referenceValues.code_translation.regex_alert_type
および _.globalReferenceValues.code_translation.regex_alert_type
) を使用して、message
内の特定の正規表現を検索します。一致するものが見つかった場合は結果を返し、それ以外の場合は元の message
を返します。
message
が空の場合は、フィールド eventType
が空でないことを確認します。空でない場合は、eventType
で同様の正規表現検索を実行します 。一致するものが見つかった場合は結果を返し、それ以外の場合は元の eventType
を返します。
message
との両方 eventType
が空の場合は、undefined
を返します 。
{"alertType": "MySQL Login Attempt", "threatId": "TA0008", "threatName": "Lateral Movement"}
{"alertType": "TFTP request", "threatId": "T1046", "threatName": "Network Service Scanning"}
{"alertType": "Canary Disconnected", "threatId": "T1489", "threatName": "Service Stop"}
ベンダーのドキュメント
Syslogサーバーの概要と設定を参照してください。