趋势 Micro Apex One
用于 JSA 的趋势微 Apex 1 DSM 使用 SNMPv2 接受事件。
Trend Micro Apex One 以前称为 Trend Micro OfficeScan。JSA 中的名称保持不变。
JSA 记录与病毒和间谍软件事件相关的事件。在 JSA 中配置趋势微设备之前,您必须将设备配置为转发 SNMPv2 事件。
JSA 有两种与趋势科技设备集成的选项。您选择的集成选项取决于您的设备版本:
与趋势 Micro Apex One 8.x 集成
您可以将趋势 Micro Apex One 8.x 设备与 JSA 集成。
-
登录 Apex One Administration 界面。
-
选择 通知。
-
配置 SNMP 陷阱的常规设置:在 服务器 IP 地址 字段中,键入 JSA 的 IP 地址。
注意:请勿更改社区陷阱信息。
-
单击 “保存”。
-
配置标准警报通知:选择 标准通知。
-
单击 SNMP 陷阱 选项卡。
-
选中“ 通过 SNMP 陷阱检测病毒/恶意软件”启用通知 复选框。
-
在字段中键入以下消息(应为默认设置):
Virus/Malware: %v Computer: %s Domain: %m File: %p Date/Time: %y Result: %a
-
选中“ 通过 SNMP 陷阱检测间谍软件/灰色软件检测”启用通知 复选框。
-
在字段中键入以下消息(应为默认设置):
Spyware/Grayware: %v Computer: %s Domain: %m Date/Time: %y Result: %a
-
单击 “保存”。
-
配置爆发警报通知:选择 退出通知。
-
单击 SNMP 陷阱 选项卡。
-
选中“ 通过 SNMP 陷阱阻止病毒/恶意软件爆发”启用通知 复选框。
-
在字段中键入以下消息(应为默认设置):
Number of viruses/malware: %CV Number of computers: %CC Log Type Exceeded: %A Number of firewall violation logs: %C Number of shared folder sessions: %S Time Period: %T
-
选中“ 通过 SNMP 陷阱为间谍软件/灰色软件爆发启用通知 ”复选框。
-
在字段中键入以下消息(应为默认设置):
Number of spyware/grayware: %CV Number of computers: %CC Log Type Exceeded: %A Number of firewall violation logs: %C Number of shared folder sessions: %S Time Period: %T
-
单击 “保存”。
与 Trend Micro Apex One 10.x 集成
将 JSA 配置为与 Trend Micro Apex One 10.x 设备集成之前,需要执行几个准备工作步骤。
您必须:
-
配置 Trend Micro Apex One 10.x 的 SNMP 设置。
-
配置标准通知。
-
配置爆发标准和警报通知。
在 Trend Micro Apex 1 中配置常规设置
您可以将趋势 Micro Apex One 10.x 设备与 JSA 集成。
-
登录 Apex One Administration 界面。
-
选择 通知>管理员通知>一般设置。
-
配置 SNMP 陷阱的常规设置:在 服务器 IP 地址 字段中,键入 JSA 的 IP 地址。
-
键入趋势 Micro Apex One 设备的社区名称。
-
单击 “保存”。
现在,您必须为 Apex One 配置标准通知。
在 Trend Micro Apex 1 中配置标准通知
您可以配置标准通知。
-
选择 通知>管理员通知>标准通知。
-
定义“标准”设置。单击 “标准 ”选项卡。
-
选择选项以在检测到病毒/恶意软件和间谍软件/灰色软件时提醒管理员,或者在针对这些安全风险的措施未成功时提醒管理员。
-
要启用通知:配置 SNMP Trap 选项卡。
-
选中“ 通过 SNMP 陷阱启用通知 ”复选框。
-
在字段中键入以下消息:
Virus/Malware: %v Spyware/Grayware: %T Computer: %s IP address: %i Domain: %m File: %p Date/Time: %y Result: %a User name: %n
-
单击 “保存”。
您现在必须配置爆发通知。
在 Trend Micro Apex 1 中配置爆发标准和警报通知
您可以为趋势 Micro Apex One 设备配置爆发标准和警报通知。
-
选择 通知>管理员通知>故障通知。
-
单击 “标准 ”选项卡。
-
键入每个安全风险的检测次数和检测周期。
当标准超过指定的检测限制时,通知消息会发送给管理员。
注意:趋势科技建议您在检测编号和检测期间使用默认值。
-
选择 “共享文件夹会话链接” 并启用 Apex One 以监控防火墙违规和共享文件夹会话。
注意:要查看网络上使用共享文件夹或当前浏览共享文件夹的计算机,可以在界面中选择编号链接。
-
单击 SNMP 陷阱 选项卡。
-
选中“通过 SNMP 陷阱启用通知”复选框。
-
-
在字段中键入以下消息:
Number of viruses/malware: %CV Number of computers: %CC Log Type Exceeded: %A Number of firewall violation logs: %C Number of shared folder sessions: %S Time Period: %T
-
单击 “保存”。
-
现在,您可以在 JSA 中配置日志源。
要配置趋势微 Office 扫描设备,
-
从“日志源类型”列表中,选择“趋势科技 Office 扫描”选项。
-
从“协议配置”列表中,选择 SNMPv2 选项。
-
与 Trend Micro Apex One XG 集成
您可以将趋势 Micro Apex One XG 设备与 JSA 系统集成。
必须先配置以下各项,才能将 Trend Micro Apex One XG 设备与 JSA 系统集成:
-
趋势微 Apex One XG 的 SNMP 设置
-
管理员通知
-
爆发通知
- 在 Trend Micro Apex One XG 中配置常规设置
- 在 Trend Micro Apex One XG 中配置管理员通知
- 在 Trend Micro Apex One XG 中配置爆发通知
在 Trend Micro Apex One XG 中配置常规设置
您可以将趋势微 Apex One XG 设备与 JSA 集成。
-
登录 Apex One Administration 界面。
-
单击 “管理>说明”>“一般设置”。
-
配置 SNMP 陷阱的常规通知设置。
-
在 服务器 IP 地址 字段中,键入 JSA 控制台的 IP 地址。
-
键入趋势 Micro Apex One 设备的社区名称。
-
单击 “保存”。
您现在必须为 Apex One 配置管理员通知。
在 Trend Micro Apex One XG 中配置管理员通知
当趋势微 Apex One XG 检测到某些安全风险时,管理员会收到通知。将设备配置为通过 SNMP 陷阱发送通知。
-
单击 “管理>>管理员”。
-
单击 “标准 ”选项卡。
-
选择以下通知选项:
-
病毒/恶意软件检测
-
间谍软件/灰色软件检测
-
C&C 回叫
-
-
要启用通知,请配置 SNMP Trap 选项卡。
-
选中“ 通过 SNMP 陷阱启用通知 ”复选框。
-
在字段中键入以下消息:
Virus/Malware: %v Spyware/Grayware: %T Computer: %s IP address: %i Domain: %m File: %p Date/Time: %y Result: %a User name: %n
Spyware/Grayware: %v Endpoint: %s Domain: %m Date/Time: %y Result: %a
Compromised Host: %CLIENTCOMPUTER% IP Address: %IP% Domain: %DOMAIN% Date/Time: %DATETIME% Callback address: %CALLBACKADDRESS% C&C risk level: %CNCRISKLEVEL% C&C list source: %CNCLISTSOURCE% Action: %ACTION%
-
单击 “保存”。
您现在必须配置爆发通知。
在 Trend Micro Apex One XG 中配置爆发通知
您可以配置趋势微 Apex 一个 XG 设备,以通知您安全风险爆发。按检测到的次数和检测周期定义爆发。
-
单击 “管理”>“>Outbreak”。
-
单击 “标准 ”选项卡。
-
键入每个安全风险的检测次数和检测周期。
注意:当标准超过指定的检测限制时,通知消息会发送给管理员。
提示:趋势科技建议您在检测编号和检测期间使用默认值。
-
要启用通知,请单击 SNMP 陷阱 选项卡,并选中 通过 SNMP 陷阱启用通知 复选框。
-
在字段中键入以下消息:
Number of virus/malware: %CV Number of computers: %CC
Number of spyware/grayware: %CV Number of endpoints: %CC
C&C callback detected: Accumulated log count: %C in the last %T hour(s)
-
单击 “保存”。
更改 JSA 中的日期格式,以匹配趋势 Micro Apex One 设备的日期格式
如果您的趋势 Micro Apex One 设备使用 dd/MM/yyyy 日期格式,您可以使用 DSM 编辑器在 JSA 中启用此日期格式。
默认情况下,趋势微 Apex One DSM 使用 dd/MM/yyyy 日期格式。
-
在 “管理员 ”选项卡 的“数据源 ”部分,单击 “DSM 编辑器”。
-
从 “选择日志源 类型”窗口中,从日志源类型列表中选择 Trend Micro Office Scan 。
-
单击 配置 选项卡,然后将 显示 DSM 参数配置 设置为 on。
-
从 事件收集器 列表中选择日志源的事件收集器。
-
将“使用 dd/MM/yyyy 日期格式”设置为 on。
-
单击 “保存”。
在 JSA 7.3 中更改日期格式,以匹配趋势 Micro Apex One 设备的日期格式
如果您的趋势 Micro Apex One 设备使用 dd/MM/yyyy 日期格式,您可以使用命令行在 JSA 7.3 中启用此日期格式。
默认情况下,趋势微 Apex One DSM 使用 dd/MM/yyyy 日期格式。
-
使用 SSH,以 root 用户身份登录到您的 JSA 控制台。
-
要创建新的属性文件或编辑现有属性文件,请键入以下命令:
vi /opt/qradar/conf/Officescan.properties
-
要启用 dd/MM/yyyy 日期格式,请向文本文件中添加以下行:
useDDMMYYYYDateFormat=true
-
要禁用 dd/MM/yyy 日期格式,请在文本文件中添加以下行:
useDDMMYYYYDateFormat=false
-
保存更改,然后退出终端。
-
重新启动事件收集服务。有关更多信息,请参阅 重新启动事件收集服务。
使用 SNMPv2 协议在 JSA 中配置日志源。有关更多信息,请参阅 趋势 Micro Apex 1 的 SNMPv2 日志源参数。
趋势微 Apex 1 的 SNMPv2 日志源参数
如果 JSA 未自动检测到日志源,请使用 SNMPv2 协议在 JSA 控制台上添加趋势微 Apex One 日志源。
使用 SNMPv2 协议时,您必须使用一些特定参数。
下表介绍了需要特定值才能从 Trend Micro Apex 1 收集 SNMPv2 事件的参数:
参数 |
价值 |
---|---|
日志源类型 |
趋势微 Office 扫描 |
日志源说明 |
日志源的描述。 |
协议配置 |
SNMPv2 |
日志源标识符 |
日志源的 IP 地址或主机名可用作趋势 Micro Apex One 设备中的事件的标识符。 |
社区 |
访问包含 SNMP 事件的系统所需的 SNMP 社区名称。默认为“公共”。 |
在事件有效负载中包含 OID |
如果选中,请清除“ 在事件有效负载中包含 OID ”复选框。 此选项允许使用名称-值对而不是标准事件有效负载格式来构造 SNMP 事件有效负载。在事件有效负载中包含 OID,才能从某些 DSM 处理 SNMPv2 或 SNMPv3 事件。 |