Trend Micro Apex Central
Der JSA DSM für Trend Micro Apex Central erfasst Syslog- oder TLS-Syslog-Ereignisse von einem Trend Micro Apex Central-Gerät.
Integrieren Sie Trend Micro Apex Central mit JSA, führen Sie die folgenden Schritte aus:
Wenn automatische Updates nicht aktiviert sind, laden Sie die neueste Version der folgenden RPMs aus den Juniper Downloads auf Ihrer JSA-Konsole herunter und installieren Sie sie:
DSM Übliche Drehzahl
Trend Micro Apex Central DSM RPM
Konfigurieren Sie Ihr Trend Micro Apex Central-Gerät so, dass Ereignisse an JSA gesendet werden. Weitere Informationen finden Sie unter Konfigurieren von Trend Micro Apex Central für die Kommunikation mit JSA.
Wenn JSA die Protokollquelle nicht automatisch erkennt, fügen Sie eine Trend Micro Apex Central-Protokollquelle in der JSA-Konsole hinzu.
Trend Micro Apex Central DSM – Spezifikationen
Wenn Sie Trend Micro Apex Central konfigurieren, können Sie die Spezifikationen für Trend Micro Apex Central DSM verstehen, um eine erfolgreiche Integration zu gewährleisten. Wenn Sie beispielsweise wissen, welche Version von Trend Micro Apex Central unterstützt wird, bevor Sie beginnen, können Sie Frustrationen während des Konfigurationsprozesses reduzieren.
In der folgenden Tabelle werden die Spezifikationen für Trend Micro Apex Central DSM beschrieben.
Spezifikation |
Wert |
|---|---|
Hersteller |
Trend Micro |
DSM-Name |
Trend Micro Apex Central |
RPM-Dateiname |
DSM-TrendMicroApexCentral-JSA_versionbuild_ number.noarch.rpm |
Unterstützte Version |
1 |
Protokoll |
Syslog, TLS-Syslog |
Format der Veranstaltung |
CEF |
Aufgezeichnete Ereignistypen |
Erkennungsprotokolle für die Angriffserkennung Protokolle zur Verhaltensüberwachung C&C-Rückrufprotokolle Inhaltssicherheitsprotokolle Protokolle zur Verhinderung von Datenverlust Protokolle der Gerätezugriffssteuerung Protokolle zur Anwendungssteuerung von Endpunkten Statusprotokoll für Motor-Updates Intrusion Prevention-Protokolle Protokolle zur Überprüfung des Netzwerkinhalts Statusprotokolle für Musteraktualisierungen Protokolle für vorausschauendes maschinelles Lernen Sandbox-Erkennungsprotokolle Spyware-/Grayware-Protokolle Verdächtige Dateiprotokolle Viren-/Malware-Protokolle Web-Sicherheitsprotokolle |
Automatisch erkannt? |
Ja |
Beinhaltet Identität? |
Nein |
Enthält benutzerdefinierte Eigenschaften? |
Nein |
Weitere Informationen |
Trend Micro Apex Central-Website |
Konfigurieren von Trend Micro Apex Central für die Kommunikation mit JSA
Konfigurieren Sie Ihr Trend Micro Apex Central-Gerät so, dass CEF-Ereignisse (Common Event Format) an JSA weitergeleitet werden.
Melden Sie sich bei Ihrer Apex Central-Konsole als Administrator an.
Konfigurieren Sie die Syslog-Einstellungen.
Klicken Sie auf Erkennungen > Benachrichtigungen > Einstellungen für die Benachrichtigungsmethode.
Konfigurieren Sie im Abschnitt Syslog-Einstellungen die folgenden Parameter:
Tabelle 2: Parameter für Syslog-Einstellungen Parameter
Wert
Server-IP-Adresse
Die IPv4- oder IPv6-Adresse Ihres Syslog-Servers.
Hafen
Die Portnummer Ihres Syslog-Servers.
Leichtigkeit
Wählen Sie den Einrichtungscode aus.
Klicken Sie auf Speichern.
Aktivieren Sie die Syslog-Weiterleitung.
Klicken Sie auf Administration > Settings > Syslog-Einstellungen.
Aktivieren Sie das Kontrollkästchen Syslog-Weiterleitung aktivieren .
Um Ereignisse an JSA zu senden, konfigurieren Sie die folgenden Syslog-Weiterleitungsparameter:
Tabelle 3: Syslog-Weiterleitungsparameter Parameter
Wert
Serveradresse
Die IP-Adresse Ihrer JSA-Konsole oder Ihres Event Collectors.
Hafen
SSL/TLS – 6514 (Standardport)
-
TCP – 514
UDP – 514
Protokoll
SSL/TLS
TCP
UDP
Format
CEF
Protokolltyp
Wählen Sie in der Liste Sicherheitsprotokolle aus, und wählen Sie dann die Ereignistypen aus, die Sie an JSA weiterleiten möchten.
Um die Verbindung zu testen, klicken Sie auf Verbindung testen.
Klicken Sie auf Speichern.
Syslog-Protokollquellenparameter für Trend Micro Apex Central
Wenn JSA die Protokollquelle nicht automatisch erkennt, fügen Sie mithilfe des Syslog-Protokolls eine Trend Micro Apex Central-Protokollquelle in der JSA-Konsole hinzu.
Wenn Sie das Syslog-Protokoll verwenden, müssen Sie bestimmte Parameter konfigurieren.
In der folgenden Tabelle werden die Parameter beschrieben, für die bestimmte Werte erforderlich sind, um Syslog-Ereignisse von Trend Micro Apex Central zu erfassen:
Parameter |
Wert |
|---|---|
Typ der Protokollquelle |
Trend Micro Apex Central |
Protokollkonfiguration |
Syslog |
Kennung der Protokollquelle |
Die IP-Adresse oder der Hostname für die Protokollquelle. |
TLS-Syslog-Protokollquellenparameter für Trend Micro Apex Central
Wenn JSA die Protokollquelle nicht automatisch erkennt, fügen Sie mithilfe des TLS-Syslog-Protokolls eine Trend Micro Apex Central-Protokollquelle in der JSA-Konsole hinzu.
Wenn Sie das TLS-Syslog-Protokoll verwenden, müssen Sie bestimmte Parameter konfigurieren.
In der folgenden Tabelle werden die Parameter beschrieben, für die bestimmte Werte erforderlich sind, um TLS-Syslog-Ereignisse von Trend Micro Apex Central zu erfassen:
Parameter |
Wert |
|---|---|
Typ der Protokollquelle |
Trend Micro Apex Central |
Protokollkonfiguration |
TLS-Syslog |
Kennung der Protokollquelle |
Ein eindeutiger Name zur Identifizierung der Protokollquelle. |
TLS-Protokolle |
Wählen Sie die TLS-Version aus, die auf dem Client installiert ist. |
Trend Micro Apex Central – Beispielereignismeldungen
Verwenden Sie diese Beispielereignismeldungen, um eine erfolgreiche Integration mit JSA zu überprüfen.
Fügen Sie aufgrund von Formatierungsproblemen das Nachrichtenformat in einen Texteditor ein, und entfernen Sie dann alle Zeilenrücklauf- oder Zeilenvorschubzeichen.
Trend Micro Apex Central – Beispielmeldungen bei Verwendung des TLS-Syslog-Protokolls
Beispiel 1: Die folgende Beispielereignismeldung zeigt, dass ein Rückruf von der Quelle 10.201.86.187 an das Ziel 10.201.86.195 erkannt und blockiert wird.
CEF:0|Trend Micro|Apex Central|2019| CnC:Block |CnC Callback|3|deviceExternalId=12 rt= Oct 11 2017 06:34:09 GMT+00:00 cat=1756 deviceFacility=Apex One cs2Label=EI_ProductVersion cs2=11.0 shost=ApexOneClient01 src= 10.201.86.187 cs3Label=SLF_DomainName cs3=DOMAIN act=Block cn1Label=SLF_CCCA_RiskLevel cn1=1 cn2Label=SLF_CCCA_DetectionSource cn2=1 cn3Label=SLF_CCCA_DestinationFormat cn3=1 dst= 10.201.86.195 deviceProcessName=C:\\Program Files (x86)\\Internet Explorer\\iexplore.exe
JSA-Feldname |
Hervorgehobene Werte in der Ereignisnutzlast |
|---|---|
Ereignis-ID |
CnC:Block |
Quell-IP |
10.201.86.187 |
Ziel-IP |
10.201.86.195 |
Gerätezeit |
Okt 11 2017 06:34:09 GMT+00:00 |
Beispiel 2: Die folgende Beispielereignismeldung zeigt, dass eine verdächtige Verbindung aufgetreten ist.
CEF:0|Trend Micro|Apex Central|2019| NCIE:Pass |SuspiciousConnection|3|deviceExternalId=1 rt= Oct 11 2017 06:34:06 GMT+00:00 cat=1756 deviceFacility=Apex One deviceProcessName=C:\\Windows\\system32\\svchost-1.exe act=Pass src= 10.201.86.152 dst= 10.69.81.64 spt= 54594 dpt= 80 deviceDirection=None cn1Label=SLF_PatternType cn1=2 cs2Label=NCIE_ThreatName cs2=Malicious_identified_CnC_querying_on_UDP_detected reason=F
JSA-Feldname |
Hervorgehobene Werte in der Ereignisnutzlast |
|---|---|
Ereignis-ID |
NCIE:Bestanden |
Quell-IP |
10.201.86.152 |
Quellport |
54594 |
Ziel-IP |
10.69.81.64 |
Zielhafen |
80 |
Gerätezeit |
Okt 11 2017 06:34:06 GMT+00:00 |