Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Integração do Cisco Meraki (coletor de log)

Você pode integrar o Cisco Meraki ao Sophos Central para o envio de alertas à Sophos para análise.

Esta página lhe dá uma visão geral da integração.

Visão geral do produto Cisco Meraki

Cisco Meraki oferece uma solução de firewall gerenciada na nuvem que se integra à grande suíte de produtos de rede Meraki. A plataforma proporciona gerenciamento, visibilidade e controle centralizados.

Documentação da Sophos

Integrar o Cisco Meraki (Coletor de log)

O que ingerimos

Exemplos de alertas vistos pela Sophos:

  • Malware acessado
  • Tentativas de login de força bruta
  • Tráfego C2
  • Conexões de saída do Cryptocurrency Miner
  • Tentativas de ingestão de SQL
  • ids-alerts
  • security_event ids_alerted
  • security_event security_filtering_file_scanned
  • security_event security_filtering_disposition_change

Alertas ingeridos na íntegra

Ingerimos todos os eventos de segurança retornados pela consulta configurada aqui: Get Organization Appliance Security Events.

Esses são os mesmos eventos que ingeridos pela integração da Cisco Meraki API.

Também ingerimos logs Evento adicionais e alguns alertas Flow.

Filtragem

Recomendamos que você configure o dispositivo Meraki para enviar os seguintes dados para o coletor de syslog:

  • Eventos de segurança
  • Log de eventos do dispositivo
  • Fluxos
  • Alertas da IDS

Filtro do agente

Filtramos os resultados da seguinte forma:

  • DESCARTAMOS logs de fluxos de rotina (allow, drop e src).
  • DESCARTAMOS ip_flow_start, ip_flow_endlogs
  • DESCARTAMOS logs de urls

Amostra de mapeamentos de ameaças

O tipo de alerta é definido como se segue:

Se o campo message não estiver vazio, procure por expressões regulares específicas em message usando as listas fornecidas (_.referenceValues.code_translation.regex_alert_type e _.globalReferenceValues.code_translation.regex_alert_type). Se for encontrada uma correspondência, retorne o resultado; caso contrário, retorne a message original.

Se message estiver vazio, verifique se o campo eventType não está vazio. Se ele não estiver vazio, execute uma pesquisa semelhante para expressões regulares em eventType. Se for encontrada uma correspondência, retorne o resultado; caso contrário, retorne a eventType original.

Se message e eventType estiverem vazios, retorne undefined.

{"alertType": "MySQL Login Attempt", "threatId": "TA0008", "threatName": "Lateral Movement"}
{"alertType": "TFTP request", "threatId": "T1046", "threatName": "Network Service Scanning"}
{"alertType": "Canary Disconnected", "threatId": "T1489", "threatName": "Service Stop"}

Documentação do fornecedor

Syslog Server Overview and Configuration