趋势科技 Apex One
适用于 JSA 的 Trend Micro Apex One DSM 使用 SNMPv2 接受事件。
Trend Micro Apex One 的前身是 Trend Micro OfficeScan。名称在 JSA 中保持不变。
JSA 会记录与病毒和间谍软件事件相关的事件。在 JSA 中配置趋势科技设备之前,必须将设备配置为转发 SNMPv2 事件。
JSA 有两种与趋势科技设备集成的选项。您选择的集成选项取决于您的设备版本:
与 Trend Micro Apex One 8.x 集成
您可以将 Trend Micro Apex One 8.x 设备与 JSA 集成。
-
登录 Apex One 管理界面。
-
选择通知。
-
配置 SNMP 陷阱的常规设置: 在 服务器 IP 地址 字段中,键入 JSA 的 IP 地址。
注意:请勿更改社区陷阱信息。
-
点击 保存。
-
配置标准警报通知:选择标准通知。
-
单击 SNMP 陷阱 选项卡。
-
选中启用 通过 SNMP 陷阱进行病毒/恶意软件检测的通知 复选框。
-
在字段中键入以下消息(这应该是默认设置):
Virus/Malware: %v Computer: %s Domain: %m File: %p Date/Time: %y Result: %a -
选中启用 通过 SNMP 陷阱进行间谍软件/灰色软件检测的通知 复选框。
-
在字段中键入以下消息(这应该是默认设置):
Spyware/Grayware: %v Computer: %s Domain: %m Date/Time: %y Result: %a -
点击 保存。
-
配置爆发警报通知:选择 退出通知。
-
单击 SNMP 陷阱 选项卡。
-
选中为 病毒/恶意软件爆发启用通过 SNMP 陷阱发出通知复 选框。
-
在字段中键入以下消息(这应该是默认设置):
Number of viruses/malware: %CV Number of computers: %CC Log Type Exceeded: %A Number of firewall violation logs: %C Number of shared folder sessions: %S Time Period: %T -
选中为 间谍软件/灰色软件爆发启用通过 SNMP 陷阱发出的通知复 选框。
-
在字段中键入以下消息(这应该是默认设置):
Number of spyware/grayware: %CV Number of computers: %CC Log Type Exceeded: %A Number of firewall violation logs: %C Number of shared folder sessions: %S Time Period: %T -
点击 保存。
与 Trend Micro Apex One 10.x 集成
在配置 JSA 以与 Trend Micro Apex One 10.x 设备集成之前,需要执行几个准备步骤。
您必须:
-
配置 Trend Micro Apex One 10.x 的 SNMP 设置。
-
配置标准通知。
-
配置爆发标准和警报通知。
在 Trend Micro Apex One 中配置常规设置
您可以将 Trend Micro Apex One 10.x 设备与 JSA 集成。
-
登录 Apex One 管理界面。
-
选择 “通知”>“管理员通知”>“常规设置”。
-
配置 SNMP 陷阱的常规设置: 在 服务器 IP 地址 字段中,键入 JSA 的 IP 地址。
-
键入 Trend Micro Apex One 设备的社区名称。
-
点击 保存。
您现在必须为 Apex One 配置标准通知。
在 Trend Micro Apex One 中配置标准通知
您可以配置标准通知。
-
选择 “通知”>“管理员通知”>“标准通知”。
-
定义“条件”设置。单击 “条件” 选项卡。
-
选择此选项以在检测到病毒/恶意软件和间谍软件/灰色软件时,或者在针对这些安全风险的措施不成功时提醒管理员。
-
要启用通知,请执行以下作: 配置 SNMP 陷阱 选项卡。
-
选中通过 SNMP 陷阱启用通知 复选框。
-
在字段中键入以下消息:
Virus/Malware: %v Spyware/Grayware: %T Computer: %s IP address: %i Domain: %m File: %p Date/Time: %y Result: %a User name: %n -
点击 保存。
您现在必须配置爆发通知。
在 Trend Micro Apex One 中配置爆发标准和警报通知
您可以为趋势科技 Apex One 设备配置爆发标准和警报通知。
-
选择 通知>管理员通知>疫情爆发通知。
-
单击 “条件” 选项卡。
-
键入每个安全风险的检测次数和检测周期。
当标准超过指定的检测限制时,通知消息将发送给管理员。
注意:趋势科技建议您使用默认值作为检测次数和检测周期。
-
选择 共享文件夹会话链接并 启用 Apex One 以监控防火墙违规和共享文件夹会话。
注意:要查看网络上有共享文件夹的计算机或当前正在浏览共享文件夹的计算机,您可以在界面中选择数字链接。
-
单击 SNMP 陷阱 选项卡。
-
选中通过 SNMP 陷阱启用通知复选框。
-
-
在字段中键入以下消息:
Number of viruses/malware: %CV Number of computers: %CC Log Type Exceeded: %A Number of firewall violation logs: %C Number of shared folder sessions: %S Time Period: %T -
点击 保存。
-
现在,您已准备好在 JSA 中配置日志源。
要配置 Trend Micro Office Scan 设备:
-
从“日志源类型”列表中,选择“趋势科技办公室扫描”选项。
-
从“协议配置”列表中,选择 SNMPv2 选项。
-
与 Trend Micro Apex One XG 集成
您可以将 Trend Micro Apex One XG 设备与 JSA 系统集成。
在将 Trend Micro Apex One XG 设备与 JSA 系统集成之前,您必须配置以下项目:
-
Trend Micro Apex One XG 的 SNMP 设置
-
管理员通知
-
疫情爆发通知
- 在 Trend Micro Apex One XG 中配置常规设置
- 在 Trend Micro Apex One XG 中配置管理员通知
- 在 Trend Micro Apex One XG 中配置爆发通知
在 Trend Micro Apex One XG 中配置常规设置
您可以将 Trend Micro Apex One XG 设备与 JSA 集成。
-
登录 Apex One 管理界面。
-
单击 管理>通知>常规设置。
-
配置 SNMP 陷阱的常规通知设置。
-
在 服务器 IP 地址 字段中,键入 JSA 控制台的 IP 地址。
-
键入 Trend Micro Apex One 设备的社区名称。
-
点击 保存。
您现在必须为 Apex One 配置管理员通知。
在 Trend Micro Apex One XG 中配置管理员通知
当 Trend Micro Apex One XG 检测到某些安全风险时,可以通知管理员。将设备配置为通过 SNMP 陷阱发送通知。
-
单击 管理>通知>管理员。
-
单击 “条件” 选项卡。
-
选择以下通知选项:
-
病毒/恶意软件检测
-
间谍软件/灰色软件检测
-
C&C 回调
-
-
要启用通知,请配置 SNMP 陷阱 选项卡。
-
选中通过 SNMP 陷阱启用通知 复选框。
-
在字段中键入以下消息:
Virus/Malware: %v Spyware/Grayware: %T Computer: %s IP address: %i Domain: %m File: %p Date/Time: %y Result: %a User name: %nSpyware/Grayware: %v Endpoint: %s Domain: %m Date/Time: %y Result: %aCompromised Host: %CLIENTCOMPUTER% IP Address: %IP% Domain: %DOMAIN% Date/Time: %DATETIME% Callback address: %CALLBACKADDRESS% C&C risk level: %CNCRISKLEVEL% C&C list source: %CNCLISTSOURCE% Action: %ACTION% -
点击 保存。
您现在必须配置爆发通知。
在 Trend Micro Apex One XG 中配置爆发通知
您可以配置 Trend Micro Apex One XG 设备,以通知您安全风险爆发。按检测次数和检测周期定义爆发。
-
单击 管理>通知>爆发。
-
单击 “条件” 选项卡。
-
键入每个安全风险的检测次数和检测周期。
注意:当标准超过指定的检测限制时,通知消息将发送给管理员。
提示:趋势科技建议您使用默认值作为检测次数和检测周期。
-
要启用通知,请单击 SNMP 陷阱 选项卡,然后选中 通过 SNMP 陷阱启用通知 复选框。
-
在字段中键入以下消息:
Number of virus/malware: %CV Number of computers: %CCNumber of spyware/grayware: %CV Number of endpoints: %CCC&C callback detected: Accumulated log count: %C in the last %T hour(s) -
点击 保存。
更改 JSA 中的日期格式以匹配 Trend Micro Apex One 设备的日期格式
如果您的 Trend Micro Apex One 设备使用 dd/MM/yyyy 日期格式,您可以使用 DSM 编辑器在 JSA 中启用此日期格式。
默认情况下,Trend Micro Apex One DSM 使用 dd/MM/yyyy 日期格式。
-
在 “管理” 选项卡的“ 数据源 ”部分中,单击“ DSM 编辑器”。
-
在“ 选择日志源 类型”窗口中,从日志源类型列表中选择“ 趋势科技办公扫描 ”。
-
单击 “配置 ”选项卡,然后将 “显示 DSM 参数配置” 设置为“开”。
-
从 “事件收集器” 列表中,选择日志源的事件收集器。
-
将使用 dd/MM/yyyy 日期格式设置为开。
-
点击 保存。
在 JSA 7.3 中更改日期格式以匹配 Trend Micro Apex One 设备的日期格式
如果您的 Trend Micro Apex One 设备使用 dd/MM/yyyy 日期格式,则可以使用命令行在 JSA 7.3 中启用此日期格式。
默认情况下,Trend Micro Apex One DSM 使用 dd/MM/yyyy 日期格式。
-
使用 SSH,以 root 用户身份登录到 JSA 控制台。
-
要创建新的特性文件或编辑现有特性文件,请键入以下命令:
vi /opt/qradar/conf/Officescan.properties
-
要启用 dd/MM/yyyy 日期格式,请在文本文件中添加以下行:
useDDMMYYYYDateFormat=true
-
要禁用 dd/MM/yyyy 日期格式,请在文本文件中添加以下行:
useDDMMYYYYDateFormat=false
-
保存更改,然后退出终端。
-
重新启动事件收集服务。
使用 SNMPv2 协议在 JSA 中配置日志源。有关详细信息,请参阅 Trend Micro Apex One 的 SNMPv2 日志源参数。
Trend Micro Apex One 的 SNMPv2 日志源参数
如果 JSA 未自动检测日志源,请使用 SNMPv2 协议在 JSA 控制台上添加 Trend Micro Apex One 日志源。
使用 SNMPv2 协议时,您必须使用某些特定参数。
下表描述了需要特定值才能从 Trend Micro Apex One 收集 SNMPv2 事件的参数:
| 参数 |
value |
|---|---|
| 日志源类型 |
趋势科技办公室扫描 |
| 日志源说明 |
日志源的说明。 |
| 协议配置 |
SNMPv2 |
| 日志源标识符 |
日志源的 IP 地址或主机名可用作 Trend Micro Apex One 设备中事件的标识符。 |
| 社区 |
访问包含 SNMP 事件的系统所需的 SNMP 社区名称。默认值为“公共”。 |
| 在事件有效负载中包括 OID |
如果选中,请清除“在 事件有效负载中包括 OID) 复选框。 此选项允许使用名称值对而不是标准事件有效负载格式来构造 SNMP 事件有效负载。要处理来自某些 DSM 的 SNMPv2 或 SNMPv3 事件,需要在事件有效负载中包含 OID。 |