Trend Micro Deep Security
Der JSA DSM für Trend Micro Deep Security kann Protokolle von Ihrem Trend Micro Deep Security-Server erfassen.
In der folgenden Tabelle sind die Spezifikationen für den Trend Micro Deep Security DSM aufgeführt:
Spezifikation |
Wert |
|---|---|
Hersteller |
Trend Micro |
DSM-Name |
Trend Micro Deep Security |
RPM-Dateiname |
DSM-TrendMicroDeepSecurity- JSA_version-build_number.noarch.rpm |
Unterstützte Versionen |
9.6.1532+ V9.6.1532 bis V12.0 |
Veranstaltungsformat |
Erweitertes Format für Protokollereignisse |
Aufgezeichnete Ereignistypen |
Malware-Schutz Umfassende Sicherheit Firewall Integritätsmonitor Intrusion Prevention Protokoll-Inspektion System Web-Reputation |
Automatisch erkannt? |
Ja |
Beinhaltet Identität? |
Nein |
Enthält es benutzerdefinierte Eigenschaften? |
Nein |
Weitere Informationen |
Website von Trend Micro (https://www.trendmicro.com/us/) |
Führen Sie die folgenden Schritte aus, um Trend Micro Deep Security in JSA zu integrieren:
-
Wenn automatische Updates nicht aktiviert sind, laden Sie die neueste Version der folgenden RPMs aus den Juniper Downloads herunter und installieren Sie sie auf Ihrer JSA-Konsole :
-
Trend Micro Deep Security DSM RPM
-
DSMCommon RPM
-
Konfigurieren Sie Ihr Trend Micro Deep Security-Gerät so, dass Syslog-Ereignisse an JSA gesendet werden.
Wenn JSA die Protokollquelle nicht automatisch erkennt, fügen Sie der JSA-Konsole eine Trend Micro Deep Security DSM-Protokollquelle hinzu. In der folgenden Tabelle werden die Parameter beschrieben, für die bestimmte Werte für die Trend Micro Deep Security DSM-Ereigniserfassung erforderlich sind:
Tabelle 2: Trend Micro Deep Security DSM-Protokollquellenparameter Parameter
Wert
Typ der Protokollquelle
Trend Micro Deep Security
Protokollkonfiguration
Syslog
Konfigurieren von Trend Micro Deep Security für die Kommunikation mit JSA
Um alle Ereignisse von Trend Micro Deep Security zu erfassen, müssen Sie JSA als Syslog-Server angeben und das Syslog-Format auf Ihrem Trend Micro Deep Security-Gerät konfigurieren.
Stellen Sie sicher, dass Deep Security Manager auf Ihrem Trend Micro Deep Security-Gerät installiert und konfiguriert ist.
Klicken Sie auf Administration >Systemeinstellungen >SIEM .
Aktivieren Sie im Bereich Systemereignisbenachrichtigung (über den Manager) im Abschnitt Manager die Option Systemereignisse an Remotecomputer weiterleiten (über Syslog).
Geben Sie den Hostnamen oder die IP-Adresse des JSA-Systems ein.
Geben Sie 514 als UDP-Port ein.
Wählen Sie die Syslog-Funktion aus, die Sie verwenden möchten.
Wählen Sie LEEF für das Syslog-Format aus.
Hinweis:Trend Micro Deep Security sendet Ereignisse nur im LEEF-Format vom Deep Security Manager. Wenn Sie auf der Registerkarte SIEM die Option Direkte Weiterleitung auswählen, können Sie für das Syslog-Format nicht Log Event Extended Format 2.0 auswählen.
Trend Micro Deep Security-Beispielereignismeldung
Verwenden Sie diese Beispielereignismeldung, um eine erfolgreiche Integration in JSA zu überprüfen.
Fügen Sie das Nachrichtenformat aufgrund von Formatierungsproblemen in einen Texteditor ein, und entfernen Sie dann alle Wagenrückläufe oder Zeilenvorschubzeichen.
Trend Micro Deep Security-Beispielmeldung, wenn Sie das Syslog-Protokoll verwenden
<>Jul 14 01:32:31 trendmicro.deepsecurity.test LEEF:2.0|Trend Micro|Deep Security Mana ger|11.0.221|851|cat=System name=Reconnaissance Detected: Network or Port Scan desc=The A gent/Appliance detected an attempt to scan a computer or a network. Check the Agent/Appliance Events to see the details of the scan. sev=6 src=192.168.187.196 usrName=qradar targe t=testTarget6 msg=The Agent/Appliance detected an attempt to scan a computer or a network. Chec k the Agent/Appliance Events to see the details of the scan. TrendMicroDsTenant=Primary T rendMicroDsTenantId=0