Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Trend Micro Apex One

Ein Trend Micro Apex One DSM für JSA akzeptiert Ereignisse mithilfe von SNMPv2.

Trend Micro Apex One ist früher als Trend Micro OfficeScan bekannt. Der Name bleibt in der JSA gleich.

JSA zeichnet Ereignisse auf, die für Viren- und Spyware-Ereignisse relevant sind. Bevor Sie ein Trend Micro-Gerät in JSA konfigurieren, müssen Sie Ihr Gerät für die Weiterleitung von SNMPv2-Ereignissen konfigurieren.

JSA bietet zwei Optionen für die Integration mit einem Trend Micro-Gerät. Die ausgewählte Integrationsoption hängt von Ihrer Geräteversion ab:

Integration mit Trend Micro Apex One 8.x

Sie können ein Trend Micro Apex One 8.x-Gerät mit JSA integrieren.

  1. Melden Sie sich bei der Apex One Administrationsschnittstelle an.

  2. Wählen Sie Benachrichtigungen aus.

  3. Konfigurieren Sie die allgemeinen Einstellungen für SNMP-Traps: Geben Sie im Feld Server-IP-Adresse die IP-Adresse der JSA ein.

    Hinweis:

    Ändern Sie nicht die Informationen über die Community-Fallen.

  4. Klicken Sie auf Speichern.

  5. Konfigurieren der Standardwarnungsbenachrichtigung: Wählen Sie Standardbenachrichtigungen aus.

  6. Klicken Sie auf die Registerkarte SNMP-Trap .

  7. Aktivieren Sie das Kontrollkästchen Benachrichtigung über SNMP-Trap für Viren-/Malware-Erkennungen aktivieren .

  8. Geben Sie die folgende Nachricht in das Feld ein (dies sollte die Standardeinstellung sein):

    Virus/Malware: %v Computer: %s Domain: %m File: %p Date/Time: %y Result: %a

  9. Aktivieren Sie das Kontrollkästchen Benachrichtigung über SNMP-Trap für Spyware-/Grayware-Erkennungen aktivieren .

  10. Geben Sie die folgende Nachricht in das Feld ein (dies sollte die Standardeinstellung sein):

    Spyware/Grayware: %v Computer: %s Domain: %m Date/Time: %y Result: %a

  11. Klicken Sie auf Speichern.

  12. Konfigurieren von Ausbruchswarnungsbenachrichtigungen: Wählen Sie Benachrichtigungen aus.

  13. Klicken Sie auf die Registerkarte SNMP-Trap .

  14. Aktivieren Sie das Kontrollkästchen Benachrichtigung über SNMP-Falle für Viren-/Malware-Ausbrüche aktivieren .

  15. Geben Sie die folgende Nachricht in das Feld ein (dies sollte die Standardeinstellung sein):

    Number of viruses/malware: %CV Number of computers: %CC Log Type Exceeded: %A Number of firewall violation logs: %C Number of shared folder sessions: %S Time Period: %T

  16. Aktivieren Sie das Kontrollkästchen Benachrichtigung über SNMP-Trap für Spyware-/Grayware-Ausbrüche aktivieren .

  17. Geben Sie die folgende Nachricht in das Feld ein (dies sollte die Standardeinstellung sein):

    Number of spyware/grayware: %CV Number of computers: %CC Log Type Exceeded: %A Number of firewall violation logs: %C Number of shared folder sessions: %S Time Period: %T

  18. Klicken Sie auf Speichern.

Integration mit Trend Micro Apex One 10.x

Bevor Sie JSA für die Integration mit einem Trend Micro Apex One 10.x-Gerät konfigurieren, sind mehrere vorbereitende Schritte erforderlich.

Du musst:

  1. Konfigurieren Sie die SNMP-Einstellungen für Trend Micro Apex One 10.x.

  2. Konfigurieren Sie Standardbenachrichtigungen.

  3. Konfigurieren Sie Ausbruchskriterien und Warnmeldungen.

Allgemeine Einstellungen in Trend Micro Apex One konfigurieren

Sie können ein Trend Micro Apex One 10.x-Gerät mit JSA integrieren.

  1. Melden Sie sich bei der Apex One Administrationsschnittstelle an.

  2. Wählen Sie Benachrichtigungen >Administratorbenachrichtigungen >Allgemeine Einstellungen.

  3. Konfigurieren Sie die allgemeinen Einstellungen für SNMP-Traps: Geben Sie im Feld Server-IP-Adresse die IP-Adresse Ihrer JSA ein.

  4. Geben Sie einen Community-Namen für Ihr Trend Micro Apex One-Gerät ein.

  5. Klicken Sie auf Speichern.

Sie müssen jetzt die Standardbenachrichtigungen für Apex One konfigurieren.

Konfigurieren von Standardbenachrichtigungen in Trend Micro Apex One

Sie können Standardbenachrichtigungen konfigurieren.

  1. Wählen Sie Benachrichtigungen >Administratorbenachrichtigungen >Standardbenachrichtigungen.

  2. Definieren Sie die Kriterieneinstellungen. Klicken Sie auf die Registerkarte Kriterien .

  3. Wählen Sie die Option aus, um Administratoren zu benachrichtigen, wenn Viren/Malware und Spyware/Grayware entdeckt werden oder wenn die Aktion gegen diese Sicherheitsrisiken nicht erfolgreich ist.

  4. So aktivieren Sie Benachrichtigungen: Konfigurieren Sie die Registerkarte SNMP-Trap .

  5. Aktivieren Sie das Kontrollkästchen Benachrichtigung über SNMP-Trap aktivieren .

  6. Geben Sie die folgende Nachricht in das Feld ein:

    Virus/Malware: %v Spyware/Grayware: %T Computer: %s IP address: %i Domain: %m File: %p Date/Time: %y Result: %a User name: %n

  7. Klicken Sie auf Speichern.

Sie müssen jetzt Ausbruchsbenachrichtigungen konfigurieren.

Konfigurieren von Ausbruchskriterien und Warnmeldungen in Trend Micro Apex One

Sie können Ausbruchskriterien und Warnmeldungen für Ihr Trend Micro Apex One-Gerät konfigurieren.

  1. Wählen Sie Benachrichtigungen >Administratorbenachrichtigungen >Ausbruchsbenachrichtigungen aus.

  2. Klicken Sie auf die Registerkarte Kriterien .

  3. Geben Sie die Anzahl der Erkennungen und den Erkennungszeitraum für jedes Sicherheitsrisiko ein.

    Benachrichtigungen werden an einen Administrator gesendet, wenn das Kriterium die angegebene Erkennungsgrenze überschreitet.

    Hinweis:

    Trend Micro schlägt vor, die Standardwerte für die Erkennungsnummer und den Erkennungszeitraum zu verwenden.

  4. Wählen Sie "Shared Folder Session-Link " und aktivieren Sie Apex One für die Überwachung auf Firewall-Verstöße und Sitzungen mit freigegebenen Ordnern.

    Hinweis:

    Um Computer im Netzwerk mit freigegebenen Ordnern oder Computern, die derzeit freigegebene Ordner durchsuchen, anzuzeigen, können Sie den Zahlenlink in der Benutzeroberfläche auswählen.

  5. Klicken Sie auf die Registerkarte SNMP-Trap .

    1. Aktivieren Sie das Kontrollkästchen Benachrichtigung über SNMP-Trap aktivieren.

  6. Geben Sie die folgende Nachricht in das Feld ein:

    Number of viruses/malware: %CV Number of computers: %CC Log Type Exceeded: %A Number of firewall violation logs: %C Number of shared folder sessions: %S Time Period: %T

  7. Klicken Sie auf Speichern.

  8. Sie können jetzt die Protokollquelle in JSA konfigurieren.

    So konfigurieren Sie das Trend Micro Office Scan-Gerät:

    1. Wählen Sie in der Liste Protokollquellentyp die Option Trend Micro Office Scan aus.

    2. Wählen Sie in der Liste Protokollkonfiguration die Option SNMPv2 aus.

Integration mit Trend Micro Apex One XG

Sie können ein Trend Micro Apex One XG-Gerät in das JSA-System integrieren.

Bevor Sie ein Trend Micro Apex One XG-Gerät in das JSA-System integrieren können, müssen Sie die folgenden Elemente konfigurieren:

  • SNMP-Einstellungen für Trend Micro Apex One XG

  • Benachrichtigungen des Administrators

  • Benachrichtigungen über Ausbrüche

Allgemeine Einstellungen in Trend Micro Apex One XG konfigurieren

Sie können ein Trend Micro Apex One XG-Gerät mit JSA integrieren.

  1. Melden Sie sich bei der Apex One Administrationsschnittstelle an.

  2. Klicken Sie auf Administration >Benachrichtigungen >Allgemeine Einstellungen.

  3. Konfigurieren Sie die allgemeinen Benachrichtigungseinstellungen für SNMP-Traps.

  4. Geben Sie im Feld Server-IP-Adresse die IP-Adresse der JSA-Konsole ein.

  5. Geben Sie einen Community-Namen für Ihr Trend Micro Apex One-Gerät ein.

  6. Klicken Sie auf Speichern.

Sie müssen jetzt die Administratorbenachrichtigungen für Apex One konfigurieren.

Konfigurieren von Administratorbenachrichtigungen in Trend Micro Apex One XG

Administratoren können benachrichtigt werden, wenn bestimmte Sicherheitsrisiken von Trend Micro Apex One XG erkannt werden. Konfigurieren Sie das Gerät so, dass Benachrichtigungen über SNMP-Trap gesendet werden.

  1. Klicken Sie auf Administration >Benachrichtigungen >Administrator).

  2. Klicken Sie auf die Registerkarte Kriterien .

  3. Wählen Sie die folgenden Optionen für die Benachrichtigung aus:

    • Viren-/Malware-Erkennung

    • Erkennung von Spyware/Grayware

    • C&C-Rückrufe

  4. Um Benachrichtigungen zu aktivieren, konfigurieren Sie die Registerkarte SNMP-Trap .

  5. Aktivieren Sie das Kontrollkästchen Benachrichtigung über SNMP-Trap aktivieren .

  6. Geben Sie die folgende Nachricht in das Feld ein:

    Virus/Malware: %v Spyware/Grayware: %T Computer: %s IP address: %i Domain: %m File: %p Date/Time: %y Result: %a User name: %n

    Spyware/Grayware: %v Endpoint: %s Domain: %m Date/Time: %y Result: %a

    Compromised Host: %CLIENTCOMPUTER% IP Address: %IP% Domain: %DOMAIN% Date/Time: %DATETIME% Callback address: %CALLBACKADDRESS% C&C risk level: %CNCRISKLEVEL% C&C list source: %CNCLISTSOURCE% Action: %ACTION%

  7. Klicken Sie auf Speichern.

Sie müssen jetzt Ausbruchsbenachrichtigungen konfigurieren.

Konfigurieren von Ausbruchsbenachrichtigungen in Trend Micro Apex One XG

Sie können Ihr Trend Micro Apex One XG-Gerät so konfigurieren, dass Sie über Sicherheitsrisikoausbrüche informiert werden. Definieren Sie einen Ausbruch nach der Anzahl der Erkennungen und dem Erkennungszeitraum.

  1. Klicken Sie auf Administration >Benachrichtigungen >Outbreak.

  2. Klicken Sie auf die Registerkarte Kriterien .

  3. Geben Sie die Anzahl der Erkennungen und den Erkennungszeitraum für jedes Sicherheitsrisiko ein.

    Hinweis:

    Benachrichtigungen werden an einen Administrator gesendet, wenn das Kriterium die angegebene Erkennungsgrenze überschreitet.
    Tipp:

    Trend Micro schlägt vor, die Standardwerte für die Erkennungsnummer und den Erkennungszeitraum zu verwenden.

  4. Um Benachrichtigungen zu aktivieren, klicken Sie auf die Registerkarte SNMP-Trap und aktivieren Sie das Kontrollkästchen Benachrichtigung über SNMP-Trap aktivieren .

  5. Geben Sie die folgende Nachricht in das Feld ein:

    Number of virus/malware: %CV Number of computers: %CC

    Number of spyware/grayware: %CV Number of endpoints: %CC

    C&C callback detected: Accumulated log count: %C in the last %T hour(s)

  6. Klicken Sie auf Speichern.

Ändern des Datumsformats in JSA, damit es mit dem Datumsformat für Ihr Trend Micro Apex One-Gerät übereinstimmt

Wenn Ihr Trend Micro Apex One-Gerät das Datumsformat TT/MM/JJJJ verwendet, können Sie dieses Datumsformat in JSA mithilfe des DSM-Editors aktivieren.

Standardmäßig verwendet der Trend Micro Apex One DSM das Datumsformat TT/MM/JJJJ.

  1. Klicken Sie auf der Registerkarte Admin im Abschnitt Datenquellen auf DSM-Editor.

  2. Wählen Sie im Fenster Protokollquellentyp auswählen die Option Trend Micro Office Scan aus der Liste Protokollquellentyp aus.

  3. Klicken Sie auf die Registerkarte Konfiguration , und setzen Sie dann DSM-Parameterkonfiguration anzeigen auf Ein.

  4. Wählen Sie in der Liste Ereignissammler den Ereignissammler für die Protokollquelle aus.

  5. Legen Sie das Datumsformat TT/MM/JJJJ VERWENDEN auf EIN fest.

  6. Klicken Sie auf Speichern.

Ändern des Datumsformats in JSA 7.3 zum Datumsformat für Ihr Trend Micro Apex One-Gerät

Wenn Ihr Trend Micro Apex One-Gerät das Datumsformat TT/MM/JJJJ verwendet, können Sie dieses Datumsformat in JSA 7.3 über die Befehlszeile aktivieren.

Standardmäßig verwendet der Trend Micro Apex One DSM das Datumsformat TT/MM/JJJJ.

  1. Melden Sie sich mit SSH bei Ihrer JSA-Konsole als Root-Benutzer an.

  2. Geben Sie den folgenden Befehl ein, um eine neue Eigenschaftendatei zu erstellen oder eine vorhandene Eigenschaftendatei zu bearbeiten:

    vi /opt/qradar/conf/Officescan.properties

  3. Um das Datumsformat TT/MM/JJJJ zu aktivieren, fügen Sie die folgende Zeile in die Textdatei ein:

    useDDMMYYYYDateFormat=true

  4. Um das Datumsformat TT/MM/JJJJ zu deaktivieren, fügen Sie die folgende Zeile in die Textdatei ein:

    useDDMMYYYYDateFormat=false

  5. Speichern Sie Ihre Änderungen und verlassen Sie dann das Terminal.

  6. Starten Sie den Ereignissammlungsdienst neu.

Konfigurieren Sie eine Protokollquelle in JSA mithilfe des SNMPv2-Protokolls. Weitere Informationen finden Sie unter SNMPv2-Protokollquellparameter für Trend Micro Apex One.

SNMPv2 Protokollquellparameter für Trend Micro Apex One

Wenn die JSA die Protokollquelle nicht automatisch erkennt, fügen Sie der JSA-Konsole mithilfe des SNMPv2-Protokolls eine Trend Micro Apex One-Protokollquelle hinzu.

Wenn Sie das SNMPv2-Protokoll verwenden, müssen Sie bestimmte Parameter verwenden.

In der folgenden Tabelle werden die Parameter beschrieben, für die bestimmte Werte erforderlich sind, um SNMPv2-Ereignisse von Trend Micro Apex One zu erfassen:

Tabelle 1: SNMPv2-Protokollquellenparameter für das Trend Micro Apex One DSM

Parameter

Wert

Protokollquellentyp

Trend Micro Office Scan

Beschreibung der Protokollquelle

Eine Beschreibung für die Protokollquelle.

Protokoll-Konfiguration

SNMPv2

Bezeichner der Protokollquelle

Die IP-Adresse oder der Hostname für die Protokollquelle kann als Kennung für Ereignisse von Ihrer Trend Micro Apex One Appliance verwendet werden.

Gemeinschaft

Der SNMP-Communityname, der für den Zugriff auf das System erforderlich ist, das SNMP-Ereignisse enthält. Der Standardwert ist Öffentlich.

OIDs in Ereignisnutzlast einschließen

Wenn diese Option aktiviert ist, deaktivieren Sie das Kontrollkästchen OIDs in Ereignisnutzlast einbeziehen .

Mit dieser Option kann die SNMP-Ereignisnutzlast mithilfe von Name-Wert-Paaren anstelle des Standardformats für Ereignisnutzlasten erstellt werden. Das Einbeziehen von OIDs in die Ereignisnutzlast ist für die Verarbeitung von SNMPv2- oder SNMPv3-Ereignissen aus bestimmten DSMs erforderlich.