# Cisco Meraki 来源配置
<a name="cisco-meraki-source-setup"></a>

## 与 Cisco Meraki 集成
<a name="cisco-meraki-integration"></a>

要将 Cisco Meraki 与 CloudWatch Logs 集成，必须同时配置来源和管道。首先通过为 Meraki 控制面板 API 配置检索数据的 API 访问权限，从而设置 Cisco Meraki 来源。随后，配置 CloudWatch 管道，将数据来源中的数据摄取到 CloudWatch Logs 中。

## 使用 Meraki 控制面板 API 进行身份验证
<a name="cisco-meraki-authentication"></a>

要检索来自 Cisco Meraki 的事件，CloudWatch 管道需要通过您的 Meraki 组织的身份验证。Cisco Meraki 支持 API 密钥访问。

**API 密钥**
+ 从 Meraki 控制面板生成 API 密钥。导航到您的个人资料并选择 **API 访问权限**，生成新的 API 密钥。
+ 在 Amazon Secrets Manager 中创建一个密钥，然后将 API 密钥存储在密钥 `api_key` 下。
+ API 密钥永久有效，可以根据需要缩小有效时间范围。确保该 API 密钥至少具有对特定组织和 API 的只读访问权限。

有关 Meraki API 授权的更多信息，请参阅 [Meraki API Authorization](https://developer.cisco.com/meraki/api-v1/authorization/)。

## 配置 CloudWatch 管道
<a name="cisco-meraki-pipeline-config"></a>

将管道配置为从 Cisco Meraki 读取数据时，请选择 Cisco Meraki 作为数据来源。填写必需的信息，包括组织 ID 和存储凭证的密钥。您可以在 Meraki 控制面板的**组织 > 设置**下找到您的组织 ID，也可以通过 Cisco Meraki API 调用 `GET /organizations` 来查找。创建管道后，数据将在选定的 CloudWatch Logs 日志组中可用。

## 支持的开放式网络安全架构框架事件类
<a name="cisco-meraki-ocsf-support"></a>

此集成支持 OCSF 架构版本 v1.5.0 以及映射到“网络活动”（4001）、“API 活动”（6003）和“检测调查发现”（2004）的 Cisco Meraki 控制面板事件。

### 网络活动（4001）
<a name="cisco-meraki-network-activity"></a>

网络活动会映射到 Meraki 安全事件：IDS/IPS 警报（基于 Snort）、通过高级恶意软件防护（AMP）检测到的恶意软件以及来自 MX 安全设备的文件扫描结果。

API 端点：`GET /organizations/{organizationId}/appliance/security/events`

### API 活动（6003）
<a name="cisco-meraki-api-activity"></a>

API 活动会映射到 Meraki 配置更改：这是一份包含所有管理操作的审计日志，用于记录谁更改了哪些配置、何时更改以及更改之前/之后的值。涵盖通过控制面板 UI 和 API 所进行的更改。

API 端点：`GET /organizations/{organizationId}/configurationChanges`

### 检测调查发现（2004）
<a name="cisco-meraki-detection-finding"></a>

检测调查发现会映射到 Meraki 保障警报：由 Meraki 的监控引擎生成的警报，该引擎会分析设备遥测数据并生成包含 ID、严重性和生命周期状态的离散警报。

API 端点：`GET /organizations/{organizationId}/assurance/alerts`