Cisco Meraki 통합(로그 수집기)
Sophos Central에 Cisco Meraki를 통합하면 Sophos로 데이터를 전송하여 분석할 수 있습니다.
이 페이지에서는 통합에 대한 개요를 제공합니다.
Cisco Meraki 제품 개요
Cisco Meraki는 Meraki의 광범위한 네트워크 제품군과 통합되는 클라우드 관리형 방화벽 솔루션을 제공합니다. 플랫폼 자체가 중앙 집중식 관리, 가시성 및 제어 기능을 제공합니다.
Sophos 문서
우리가 섭취하는 것
Sophos에서 볼 수 있는 샘플 경고:
- 악성 프로그램 액세스
- 무차별 암호 대입 로그인 시도
- C2 트래픽
- 암호화폐 마이너 아웃바운드 연결
- SQL 수집 시도
- IDS-경고
- 보안 이벤트 ID 경고
- 보안 이벤트 보안 필터링 파일 스캔됨
- 보안 이벤트 보안 필터링 처리 변경
알림이 완전히 수집됨
여기에 설정된 쿼리에 의해 반환된 모든 보안 이벤트를 수집합니다. Organization Appliance 보안 이벤트 가져오기.
이러한 이벤트는 Cisco Meraki API 통합에 의해 수집된 이벤트와 동일합니다.
또한 추가 이벤트 로그와 일부 Flow 알림도 수집합니다.
필터링
다음 데이터를 syslog 수집기로 전송하도록 Meraki 어플라이언스를 구성하는 것이 좋습니다.
- 보안 이벤트
- 어플라이언스 이벤트 로그
- 흐름
- IDS 알림
마취제 필터
결과를 다음과 같이 필터링합니다.
- 루틴 플로우 로그(ALLOW, DROP 및 SRC)를 삭제합니다.
- 우리는 떨어진다
ip_flow_start
,ip_flow_endlogs
urls
로그를 삭제합니다.
위협 매핑 샘플
알림 유형은 다음과 같이 정의됩니다.
필드가 message
비어 있지 않으면 message
제공된 목록(_.referenceValues.code_translation.regex_alert_type
및 _.globalReferenceValues.code_translation.regex_alert_type
)을 사용하여 에서 특정 정규식을 검색합니다. 일치하는 항목이 있으면 결과를 반환하고, 그렇지 않으면 Original message
을 반환합니다.
message
가 비어 있으면 필드가 eventType
비어 있지 않은지 확인합니다. 비어 있지 않으면 에서 정규식에 대해 비슷한 검색을 eventType
수행합니다. 일치하는 항목이 있으면 결과를 반환하고, 그렇지 않으면 Original eventType
을 반환합니다.
message
및 가 모두 eventType
비어 있으면 undefined
를 반환합니다.
{"alertType": "MySQL Login Attempt", "threatId": "TA0008", "threatName": "Lateral Movement"}
{"alertType": "TFTP request", "threatId": "T1046", "threatName": "Network Service Scanning"}
{"alertType": "Canary Disconnected", "threatId": "T1489", "threatName": "Service Stop"}
공급업체 설명서
Syslog 서버 개요 및 구성을 참조하십시오.