コンテンツにスキップ
MDR のサポート提供の詳細をご確認ください。

Cisco Meraki の統合 (ログコレクタ)

Cisco Meraki を Sophos Central と統合して、ソフォスでの解析用に警告を送信することができます。

このページでは、統合の概要を説明します。

Cisco Meraki 製品の概要

Cisco Meraki は、Meraki の幅広いネットワーク製品スイートと統合するクラウド管理型ファイアウォールソリューションを提供します。プラットフォーム自体は、一元管理、可視性、および制御を提供します。

ソフォス製品ドキュメント

Cisco Meraki (ログコレクタ) の統合

取り込まれる内容

ソフォスで表示される警告の例:

  • マルウェアによるアクセス
  • ブルートフォースログイン試行
  • C2 トラフィック
  • Cryptocurrency Miner 送信接続
  • SQL の取り込み試行
  • ids-alerts
  • security_event ids_alerted
  • security_event security_filtering_file_scanned
  • security_event security_filtering_disposition_change

完全に取り込まれる警告

ここで設定したクエリによって返されるすべてのセキュリティイベントを取り込みます。Get Organization Appliance Security Events.

これらのイベントは、Cisco Meraki API 統合によって取り込まれるイベントと同じです。

また、追加のイベントログといくつかのフロー警告も取り込みます。

フィルタリング

syslog コレクタに次のデータを送信するように Meraki アプライアンスを設定することを推奨します。

  • セキュリティイベント
  • アプライアンス イベント ログ
  • フロー
  • IDS 警告

エージェントフィルタ

結果は次のようにフィルタ処理されます。

  • ルーチン フロー ログ (allow、drop、src) をドロップします。
  • ip_flow_startip_flow_endlogs をドロップします。
  • urls ログをドロップします。

脅威マッピングの例

警告の種類は次のように定義されます。

フィールド message が空でない場合は、 指定されたリスト (_.referenceValues.code_translation.regex_alert_type および _.globalReferenceValues.code_translation.regex_alert_type) を使用して、message 内の特定の正規表現を検索します。一致するものが見つかった場合は結果を返し、それ以外の場合は元の message を返します。

message が空の場合は、フィールド eventType が空でないことを確認します。空でない場合は、eventType で同様の正規表現検索を実行します 。一致するものが見つかった場合は結果を返し、それ以外の場合は元の eventType を返します。

message との両方 eventType が空の場合は、undefined を返します 。

{"alertType": "MySQL Login Attempt", "threatId": "TA0008", "threatName": "Lateral Movement"}
{"alertType": "TFTP request", "threatId": "T1046", "threatName": "Network Service Scanning"}
{"alertType": "Canary Disconnected", "threatId": "T1489", "threatName": "Service Stop"}

ベンダーのドキュメント

Syslogサーバーの概要と設定を参照してください。