Cisco Meraki 来源配置
与 Cisco Meraki 集成
要将 Cisco Meraki 与 CloudWatch Logs 集成,必须同时配置来源和管道。首先通过为 Meraki 控制面板 API 配置检索数据的 API 访问权限,从而设置 Cisco Meraki 来源。随后,配置 CloudWatch 管道,将数据来源中的数据摄取到 CloudWatch Logs 中。
使用 Meraki 控制面板 API 进行身份验证
要检索来自 Cisco Meraki 的事件,CloudWatch 管道需要通过您的 Meraki 组织的身份验证。Cisco Meraki 支持 API 密钥访问。
API 密钥
-
从 Meraki 控制面板生成 API 密钥。导航到您的个人资料并选择 API 访问权限,生成新的 API 密钥。
-
在 Amazon Secrets Manager 中创建一个密钥,然后将 API 密钥存储在密钥
api_key下。 -
API 密钥永久有效,可以根据需要缩小有效时间范围。确保该 API 密钥至少具有对特定组织和 API 的只读访问权限。
有关 Meraki API 授权的更多信息,请参阅 Meraki API Authorization
配置 CloudWatch 管道
将管道配置为从 Cisco Meraki 读取数据时,请选择 Cisco Meraki 作为数据来源。填写必需的信息,包括组织 ID 和存储凭证的密钥。您可以在 Meraki 控制面板的组织 > 设置下找到您的组织 ID,也可以通过 Cisco Meraki API 调用 GET /organizations 来查找。创建管道后,数据将在选定的 CloudWatch Logs 日志组中可用。
支持的开放式网络安全架构框架事件类
此集成支持 OCSF 架构版本 v1.5.0 以及映射到“网络活动”(4001)、“API 活动”(6003)和“检测调查发现”(2004)的 Cisco Meraki 控制面板事件。
网络活动(4001)
网络活动会映射到 Meraki 安全事件:IDS/IPS 警报(基于 Snort)、通过高级恶意软件防护(AMP)检测到的恶意软件以及来自 MX 安全设备的文件扫描结果。
API 端点:GET /organizations/{organizationId}/appliance/security/events
API 活动(6003)
API 活动会映射到 Meraki 配置更改:这是一份包含所有管理操作的审计日志,用于记录谁更改了哪些配置、何时更改以及更改之前/之后的值。涵盖通过控制面板 UI 和 API 所进行的更改。
API 端点:GET /organizations/{organizationId}/configurationChanges
检测调查发现(2004)
检测调查发现会映射到 Meraki 保障警报:由 Meraki 的监控引擎生成的警报,该引擎会分析设备遥测数据并生成包含 ID、严重性和生命周期状态的离散警报。
API 端点:GET /organizations/{organizationId}/assurance/alerts