Integração do Cisco Meraki (coletor de log)
Você pode integrar o Cisco Meraki ao Sophos Central para o envio de alertas à Sophos para análise.
Esta página lhe dá uma visão geral da integração.
Visão geral do produto Cisco Meraki
Cisco Meraki oferece uma solução de firewall gerenciada na nuvem que se integra à grande suíte de produtos de rede Meraki. A plataforma proporciona gerenciamento, visibilidade e controle centralizados.
Documentação da Sophos
Integrar o Cisco Meraki (Coletor de log)
O que ingerimos
Exemplos de alertas vistos pela Sophos:
- Malware acessado
- Tentativas de login de força bruta
- Tráfego C2
- Conexões de saída do Cryptocurrency Miner
- Tentativas de ingestão de SQL
- ids-alerts
- security_event ids_alerted
- security_event security_filtering_file_scanned
- security_event security_filtering_disposition_change
Alertas ingeridos na íntegra
Ingerimos todos os eventos de segurança retornados pela consulta configurada aqui: Get Organization Appliance Security Events.
Esses são os mesmos eventos que ingeridos pela integração da Cisco Meraki API.
Também ingerimos logs Evento adicionais e alguns alertas Flow.
Filtragem
Recomendamos que você configure o dispositivo Meraki para enviar os seguintes dados para o coletor de syslog:
- Eventos de segurança
- Log de eventos do dispositivo
- Fluxos
- Alertas da IDS
Filtro do agente
Filtramos os resultados da seguinte forma:
- DESCARTAMOS logs de fluxos de rotina (allow, drop e src).
- DESCARTAMOS
ip_flow_start
,ip_flow_endlogs
- DESCARTAMOS logs de
urls
Amostra de mapeamentos de ameaças
O tipo de alerta é definido como se segue:
Se o campo message
não estiver vazio, procure por expressões regulares específicas em message
usando as listas fornecidas (_.referenceValues.code_translation.regex_alert_type
e _.globalReferenceValues.code_translation.regex_alert_type
). Se for encontrada uma correspondência, retorne o resultado; caso contrário, retorne a message
original.
Se message
estiver vazio, verifique se o campo eventType
não está vazio. Se ele não estiver vazio, execute uma pesquisa semelhante para expressões regulares em eventType
. Se for encontrada uma correspondência, retorne o resultado; caso contrário, retorne a eventType
original.
Se message
e eventType
estiverem vazios, retorne undefined
.
{"alertType": "MySQL Login Attempt", "threatId": "TA0008", "threatName": "Lateral Movement"}
{"alertType": "TFTP request", "threatId": "T1046", "threatName": "Network Service Scanning"}
{"alertType": "Canary Disconnected", "threatId": "T1489", "threatName": "Service Stop"}