Cisco Meraki 통합(로그 수집기)
Cisco Meraki를 Sophos Central 과 통합하면 분석을 위해 Sophos 로 경고를 전송할 수 있습니다.
이 페이지에서는 통합에 대한 개요를 제공합니다.
Cisco Meraki 제품 개요
Cisco Meraki는 Meraki의 광범위한 네트워크 제품군과 통합되는 클라우드 관리형 방화벽 솔루션을 제공합니다. 플랫폼 자체가 중앙 집중식 관리, 가시성 및 제어 기능을 제공합니다.
Sophos 문서
수집되는 것
Sophos에서 볼 수 있는 샘플 경고:
- Malware accessed
- Brute force login attempts
- C2 traffic
- Cryptocurrency Miner outbound connections
- SQL ingestion attempts
- ids-alerts
- security_event ids_alerted
- security_event security_filtering_file_scanned
- security_event security_filtering_disposition_change
완전히 수집되는 경고
여기에 설정된 쿼리에서 반환되는 모든 보안 이벤트를 수집합니다. 조직 어플라이언스 보안 이벤트를 가져옵니다.
이는 Cisco Meraki API 통합에서 수집하는 것과 동일한 이벤트입니다.
또한 추가적인 이벤트 로그와 일부 Flow 알림을 수집합니다.
필터링
Meraki 어플라이언스 다음 데이터를 syslog 수집기로 전송하도록 구성하는 것이 좋습니다.
- 보안 이벤트
- 가전제품 Event Log
- 흐름
- IDS 경고
에이전트 필터
결과를 다음과 같이 필터링합니다.
- 일상적인 흐름 로그(허용, 삭제 및 소스)를 삭제합니다.
ip_flow_start,ip_flow_endlogs를 삭제합니다.URL로그를 삭제합니다.
샘플 위협 매핑
경고 유형은 다음과 같이 정의됩니다.
메시지 필드가 비어 있지 않으면 제공된 목록(_.referenceValues.code_translation.regex_alert_type 및 _.globalReferenceValues.code_translation.regex_alert_type)을 사용하여 메시지에서 특정 정규 표현식을 검색합니다. 일치하는 항목이 발견되면 결과를 반환하고, 그렇지 않으면 원래 메시지를 반환합니다.
메시지가 비어 있으면 eventType 필드가 비어 있지 않은지 확인하십시오. 비어 있지 않으면 eventType에서 정규 표현식에 대해 유사한 검색을 수행합니다. 일치하는 항목이 발견되면 결과를 반환하고, 그렇지 않으면 원래 eventType을 반환합니다.
메시지와 eventType가 모두 비어 있으면 undefined를 반환합니다.
{"alertType": "MySQL Login Attempt", "threatId": "TA0008", "threatName": "Lateral Movement"}
{"alertType": "TFTP request", "threatId": "T1046", "threatName": "Network Service Scanning"}
{"alertType": "Canary Disconnected", "threatId": "T1489", "threatName": "Service Stop"}