Integração do Cisco Meraki API
Você pode integrar o Cisco Meraki ao Sophos Central para o envio de alertas à Sophos para análise.
Esta página lhe dá uma visão geral da integração.
Visão geral do produto Cisco Meraki
Cisco Meraki oferece uma solução de firewall gerenciada na nuvem que se integra à grande suíte de produtos de rede Meraki. A plataforma proporciona gerenciamento, visibilidade e controle centralizados.
Documentação da Sophos
O que ingerimos
Exemplos de alertas vistos pela Sophos:
- Malware acessado
- Tentativas de login de força bruta
- Tráfego C2
- Conexões de saída do Cryptocurrency Miner
- Tentativas de ingestão de SQL
Alertas ingeridos na íntegra
Ingerimos todos os eventos de segurança retornados pela consulta configurada aqui: Get Organization Appliance Security Events
Filtragem
Consultamos o Endpoint /organizations/{organizationId}/appliance/security/events.
Filtramos os resultados para remover os dados fornecidos em um formato não compatível.
Amostra de mapeamentos de ameaças
O tipo de alerta é definido como se segue:
Se o campo message não estiver vazio, procure por expressões regulares específicas em message usando as listas fornecidas (_.referenceValues.code_translation.regex_alert_type e _.globalReferenceValues.code_translation.regex_alert_type). Se for encontrada uma correspondência, retorne o resultado; caso contrário, retorne a message original.
Se message estiver vazio, verifique se o campo eventType não está vazio. Se ele não estiver vazio, execute uma pesquisa semelhante para expressões regulares em eventType. Se for encontrada uma correspondência, retorne o resultado; caso contrário, retorne a eventType original.
Se message e eventType estiverem vazios, retorne undefined.
Exemplos mapeados para o MITRE ATT&CK:
{"alertType": "MySQL Login Attempt", "threatId": "TA0008", "threatName": "Lateral Movement"}
{"alertType": "TFTP request", "threatId": "T1046", "threatName": "Network Service Scanning"}
{"alertType": "Canary Disconnected", "threatId": "T1489", "threatName": "Service Stop"}