AUF DIESER SEITE
Trend Micro Apex Central
Der JSA DSM für Trend Micro Apex Central erfasst Syslog- oder TLS-Syslog-Ereignisse von einem Trend Micro Apex Central-Gerät.
Integrieren Sie Trend Micro Apex Central mit JSA, führen Sie die folgenden Schritte aus:
Wenn automatische Updates nicht aktiviert sind, laden Sie die neueste Version der folgenden RPMs aus den Juniper Downloads auf Ihrer JSA-Konsole herunter und installieren Sie sie:
DSM Gewöhnliche Drehzahl
Trend Micro Apex Central DSM RPM
Konfigurieren Sie Ihr Trend Micro Apex Central-Gerät so, dass Ereignisse an JSA gesendet werden. Weitere Informationen finden Sie unter Konfigurieren von Trend Micro Apex Central für die Kommunikation mit JSA.
Wenn JSA die Protokollquelle nicht automatisch erkennt, fügen Sie in der JSA-Konsole eine Trend Micro Apex Central-Protokollquelle hinzu.
Trend Micro Apex Central DSM – Spezifikationen
Wenn Sie Trend Micro Apex Central konfigurieren, können Sie die Spezifikationen für den Trend Micro Apex Central DSM verstehen, um eine erfolgreiche Integration sicherzustellen. Wenn Sie beispielsweise wissen, welche Version von Trend Micro Apex Central unterstützt wird, bevor Sie beginnen, können Sie die Frustration während des Konfigurationsprozesses verringern.
In der folgenden Tabelle werden die Spezifikationen für das Trend Micro Apex Central DSM beschrieben.
Spezifikation |
Wert |
|---|---|
Hersteller |
Trend Micro |
DSM-Name |
Trend Micro Apex Central |
RPM-Dateiname |
DSM-TrendMicroApexCentral-JSA_versionbuild_ number.noarch.rpm |
Unterstützte Version |
1 |
Protokoll |
Syslog, TLS-Syslog |
Veranstaltungsformat |
CEF |
Aufgezeichnete Ereignistypen |
Protokolle zur Erkennung von Angriffserkennung Protokolle zur Verhaltensüberwachung C&C-Callback-Protokolle Inhaltssicherheitsprotokolle Protokolle zur Verhinderung von Datenverlust Protokolle zur Gerätezugriffssteuerung Protokolle zur Steuerung von Endpunktanwendungen Statusprotokoll für Motoraktualisierungen Intrusion Prevention-Protokolle Protokolle zur Überprüfung von Netzwerkinhalten Statusprotokolle für Musteraktualisierungen Protokolle für prädiktives maschinelles Lernen Sandbox-Erkennungsprotokolle Spyware-/Grayware-Protokolle Verdächtige Dateiprotokolle Viren-/Malware-Protokolle Web-Sicherheitsprotokolle |
Automatisch erkannt? |
Ja |
Beinhaltet Identität? |
Nein |
Enthält es benutzerdefinierte Eigenschaften? |
Nein |
Weitere Informationen |
Konfigurieren von Trend Micro Apex Central für die Kommunikation mit JSA
Konfigurieren Sie Ihr Trend Micro Apex Central-Gerät so, dass CEF-Ereignisse (Common Event Format) an JSA weitergeleitet werden.
Melden Sie sich bei Ihrer Apex Central-Konsole als Administrator an.
Konfigurieren Sie die Syslog-Einstellungen.
Klicken Sie auf Erkennungen > Benachrichtigungen > Einstellungen für die Benachrichtigungsmethode.
Konfigurieren Sie im Abschnitt Syslog-Einstellungen die folgenden Parameter:
Tabelle 2: Parameter für die Syslog-Einstellungen Parameter
Wert
IP-Adresse des Servers
Die IPv4- oder IPv6-Adresse Ihres Syslog-Servers.
Hafen
Die Portnummer Ihres Syslog-Servers.
Anlage
Wählen Sie den Einrichtungscode aus.
Klicken Sie auf Speichern.
Aktivieren Sie die Syslog-Weiterleitung.
Klicken Sie auf Administration > Einstellungen > Syslog-Einstellungen.
Aktivieren Sie das Kontrollkästchen Syslog-Weiterleitung aktivieren .
Um Ereignisse an JSA zu senden, konfigurieren Sie die folgenden Syslog-Weiterleitungsparameter:
Tabelle 3: Syslog-Weiterleitungsparameter Parameter
Wert
Serveradresse
Die IP-Adresse Ihrer JSA-Konsole oder Ihres Event Collectors.
Hafen
SSL/TLS – 6514 (Standardport)
-
TCP - 514
UDP - 514
Protokoll
SSL/TLS
TCP
UDP
Format
CEF
Protokolltyp
Wählen Sie Sicherheitsprotokolle aus der Liste aus, und wählen Sie dann die Ereignistypen aus, die Sie an JSA weiterleiten möchten.
Um die Verbindung zu testen, klicken Sie auf Verbindung testen.
Klicken Sie auf Speichern.
Syslog-Protokollquellenparameter für Trend Micro Apex Central
Wenn JSA die Protokollquelle nicht automatisch erkennt, fügen Sie mithilfe des Syslog-Protokolls eine Trend Micro Apex Central-Protokollquelle in der JSA-Konsole hinzu.
Wenn Sie das Syslog-Protokoll verwenden, müssen Sie bestimmte Parameter konfigurieren.
In der folgenden Tabelle werden die Parameter beschrieben, für die bestimmte Werte erforderlich sind, um Syslog-Ereignisse von Trend Micro Apex Central zu erfassen:
Parameter |
Wert |
|---|---|
Typ der Protokollquelle |
Trend Micro Apex Central |
Protokollkonfiguration |
Syslog |
Protokollquellen-ID |
Die IP-Adresse oder der Hostname für die Protokollquelle. |
TLS-Syslog-Protokollquellenparameter für Trend Micro Apex Central
Wenn JSA die Protokollquelle nicht automatisch erkennt, fügen Sie mithilfe des TLS-Syslog-Protokolls eine Trend Micro Apex Central-Protokollquelle in der JSA-Konsole hinzu.
Wenn Sie das TLS-Syslog-Protokoll verwenden, müssen Sie bestimmte Parameter konfigurieren.
In der folgenden Tabelle werden die Parameter beschrieben, für die bestimmte Werte erforderlich sind, um TLS-Syslog-Ereignisse von Trend Micro Apex Central zu erfassen:
Parameter |
Wert |
|---|---|
Typ der Protokollquelle |
Trend Micro Apex Central |
Protokollkonfiguration |
TLS-Syslog |
Protokollquellen-ID |
Ein eindeutiger Name zur Identifizierung der Protokollquelle. |
TLS-Protokolle |
Wählen Sie die TLS-Version aus, die auf dem Client installiert ist. |
Trend Micro Apex Central-Beispielereignismeldungen
Verwenden Sie diese Beispielereignismeldungen, um eine erfolgreiche Integration in JSA zu überprüfen.
Fügen Sie aufgrund von Formatierungsproblemen das Nachrichtenformat in einen Texteditor ein, und entfernen Sie dann alle Wagenrücklauf- oder Zeilenvorschubzeichen.
Trend Micro Apex Central-Beispielmeldungen, wenn Sie das TLS-Syslog-Protokoll verwenden
Beispiel 1: Die folgende Beispielereignismeldung zeigt, dass ein Rückruf von Quelle 10.201.86.187 an Ziel 10.201.86.195 erkannt und blockiert wird.
CEF:0|Trend Micro|Apex Central|2019| CnC:Block |CnC Callback|3|deviceExternalId=12 rt= Oct 11 2017 06:34:09 GMT+00:00 cat=1756 deviceFacility=Apex One cs2Label=EI_ProductVersion cs2=11.0 shost=ApexOneClient01 src= 10.201.86.187 cs3Label=SLF_DomainName cs3=DOMAIN act=Block cn1Label=SLF_CCCA_RiskLevel cn1=1 cn2Label=SLF_CCCA_DetectionSource cn2=1 cn3Label=SLF_CCCA_DestinationFormat cn3=1 dst= 10.201.86.195 deviceProcessName=C:\\Program Files (x86)\\Internet Explorer\\iexplore.exe
JSA-Feldname |
Hervorgehobene Werte in der Ereignisnutzlast |
|---|---|
Ereignis-ID |
CnC:Block |
Quell-IP |
10.201.86.187 |
Ziel-IP |
10.201.86.195 |
Gerätezeit |
Oct 11 2017 06:34:09 GMT+00:00 |
Beispiel 2: Die folgende Beispielereignismeldung zeigt, dass eine verdächtige Verbindung aufgetreten ist.
CEF:0|Trend Micro|Apex Central|2019| NCIE:Pass |SuspiciousConnection|3|deviceExternalId=1 rt= Oct 11 2017 06:34:06 GMT+00:00 cat=1756 deviceFacility=Apex One deviceProcessName=C:\\Windows\\system32\\svchost-1.exe act=Pass src= 10.201.86.152 dst= 10.69.81.64 spt= 54594 dpt= 80 deviceDirection=None cn1Label=SLF_PatternType cn1=2 cs2Label=NCIE_ThreatName cs2=Malicious_identified_CnC_querying_on_UDP_detected reason=F
JSA-Feldname |
Hervorgehobene Werte in der Ereignisnutzlast |
|---|---|
Ereignis-ID |
NCIE:Bestanden |
Quell-IP |
10.201.86.152 |
Quell-Port |
54594 |
Ziel-IP |
10.69.81.64 |
Zielhafen |
80 |
Gerätezeit |
Oct 11 2017 06:34:06 GMT+00:00 |