Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Trend Micro Apex One

Ein Trend Micro Apex One DSM für JSA akzeptiert Ereignisse mithilfe von SNMPv2.

Trend Micro Apex One ist früher unter dem Namen Trend Micro OfficeScan bekannt. Der Name bleibt in JSA gleich.

JSA zeichnet Ereignisse auf, die für Viren- und Spywareereignisse relevant sind. Bevor Sie ein Trend Micro Gerät in JSA konfigurieren, müssen Sie Ihr Gerät so konfigurieren, dass SNMPv2-Ereignisse weitergeleitet werden.

JSA bietet zwei Optionen für die Integration mit einem Trend Micro Gerät. Welche Integrationsoption Sie wählen, hängt von Ihrer Geräteversion ab:

Integration mit Trend Micro Apex One 8.x

Sie können ein Trend Micro Apex One 8.x-Gerät in JSA integrieren.

  1. Melden Sie sich bei der Apex One-Administrationsoberfläche an.

  2. Wählen Sie Benachrichtigungen aus.

  3. Konfigurieren Sie die allgemeinen Einstellungen für SNMP-Traps: Geben Sie im Feld Server-IP-Adresse die IP-Adresse der JSA ein.

    Hinweis:

    Ändern Sie nicht die Community-Trap-Informationen.

  4. Klicken Sie auf Speichern.

  5. Konfigurieren Sie die Standard-Warnungsbenachrichtigung: Wählen Sie Standard-Benachrichtigungen aus.

  6. Klicken Sie auf die Registerkarte SNMP-Trap .

  7. Aktivieren Sie das Kontrollkästchen Benachrichtigung über SNMP-Falle für Viren-/Malware-Erkennungen aktivieren .

  8. Geben Sie die folgende Meldung in das Feld ein (dies sollte die Standardeinstellung sein):

    Virus/Malware: %v Computer: %s Domain: %m File: %p Date/Time: %y Result: %a

  9. Aktivieren Sie das Kontrollkästchen Benachrichtigung über SNMP-Trap für Spyware-/Grayware-Erkennungen aktivieren .

  10. Geben Sie die folgende Meldung in das Feld ein (dies sollte die Standardeinstellung sein):

    Spyware/Grayware: %v Computer: %s Domain: %m Date/Time: %y Result: %a

  11. Klicken Sie auf Speichern.

  12. Benachrichtigungen über Ausbruchswarnungen konfigurieren: Wählen Sie Benachrichtigungen aus.

  13. Klicken Sie auf die Registerkarte SNMP-Trap .

  14. Aktivieren Sie das Kontrollkästchen Benachrichtigung über SNMP-Falle bei Viren-/Malware-Ausbrüchen aktivieren .

  15. Geben Sie die folgende Meldung in das Feld ein (dies sollte die Standardeinstellung sein):

    Number of viruses/malware: %CV Number of computers: %CC Log Type Exceeded: %A Number of firewall violation logs: %C Number of shared folder sessions: %S Time Period: %T

  16. Aktivieren Sie das Kontrollkästchen Benachrichtigung über SNMP-Falle bei Spyware-/Grayware-Ausbrüchen aktivieren .

  17. Geben Sie die folgende Meldung in das Feld ein (dies sollte die Standardeinstellung sein):

    Number of spyware/grayware: %CV Number of computers: %CC Log Type Exceeded: %A Number of firewall violation logs: %C Number of shared folder sessions: %S Time Period: %T

  18. Klicken Sie auf Speichern.

Integration mit Trend Micro Apex One 10.x

Es sind mehrere vorbereitende Schritte erforderlich, bevor Sie JSA für die Integration in ein Trend Micro Apex One 10.x-Gerät konfigurieren.

Du musst:

  1. Konfigurieren Sie die SNMP-Einstellungen für Trend Micro Apex One 10.x.

  2. Konfigurieren Sie Standardbenachrichtigungen.

  3. Konfigurieren Sie Ausbruchskriterien und Warnmeldungen.

Konfigurieren der allgemeinen Einstellungen in Trend Micro Apex One

Sie können ein Trend Micro Apex One 10.x-Gerät in JSA integrieren.

  1. Melden Sie sich bei der Apex One-Administrationsoberfläche an.

  2. Wählen Sie Benachrichtigungen >Administratorbenachrichtigungen >Allgemeine Einstellungen.

  3. Konfigurieren Sie die allgemeinen Einstellungen für SNMP-Traps: Geben Sie im Feld Server-IP-Adresse die IP-Adresse Ihrer JSA ein.

  4. Geben Sie einen Community-Namen für Ihr Trend Micro Apex One-Gerät ein.

  5. Klicken Sie auf Speichern.

Sie müssen jetzt die Standardbenachrichtigungen für Apex One konfigurieren.

Konfigurieren von Standardbenachrichtigungen in Trend Micro Apex One

Sie können Standardbenachrichtigungen konfigurieren.

  1. Wählen Sie Benachrichtigungen >Administratorbenachrichtigungen >Standardbenachrichtigungen.

  2. Definieren Sie die Einstellungen für die Kriterien. Klicken Sie auf die Registerkarte Kriterien .

  3. Wählen Sie die Option aus, um Administratoren bei der Erkennung von Viren/Malware und Spyware/Grayware zu warnen oder wenn die Aktion für diese Sicherheitsrisiken nicht erfolgreich ist.

  4. So aktivieren Sie Benachrichtigungen: Konfigurieren Sie die Registerkarte SNMP-Trap .

  5. Aktivieren Sie das Kontrollkästchen Benachrichtigung über SNMP-Trap aktivieren .

  6. Geben Sie die folgende Nachricht in das Feld ein:

    Virus/Malware: %v Spyware/Grayware: %T Computer: %s IP address: %i Domain: %m File: %p Date/Time: %y Result: %a User name: %n

  7. Klicken Sie auf Speichern.

Sie müssen jetzt Outbreak Notifications konfigurieren.

Konfigurieren von Ausbruchskriterien und Warnmeldungen in Trend Micro Apex One

Sie können Ausbruchskriterien und Warnmeldungen für Ihr Trend Micro Apex One-Gerät konfigurieren.

  1. Wählen Sie Benachrichtigungen >Administratorbenachrichtigungen >Ausbruchsbenachrichtigungen aus.

  2. Klicken Sie auf die Registerkarte Kriterien .

  3. Geben Sie die Anzahl der Erkennungen und den Erkennungszeitraum für jedes Sicherheitsrisiko ein.

    Benachrichtigungen werden an einen Administrator gesendet, wenn das Kriterium die angegebene Erkennungsgrenze überschreitet.

    Hinweis:

    Trend Micro empfiehlt, die Standardwerte für die Erkennungszahl und den Erkennungszeitraum zu verwenden.

  4. Wählen Sie Sitzungslink für freigegebene Ordner aus und aktivieren Sie Apex One, um auf Firewall-Verstöße und Sitzungen für freigegebene Ordner zu überwachen.

    Hinweis:

    Um Computer im Netzwerk mit freigegebenen Ordnern oder Computer, die derzeit freigegebene Ordner durchsuchen, anzuzeigen, können Sie den Nummernlink in der Benutzeroberfläche auswählen.

  5. Klicken Sie auf die Registerkarte SNMP-Trap .

    1. Aktivieren Sie das Kontrollkästchen Benachrichtigung über SNMP-Trap aktivieren.

  6. Geben Sie die folgende Nachricht in das Feld ein:

    Number of viruses/malware: %CV Number of computers: %CC Log Type Exceeded: %A Number of firewall violation logs: %C Number of shared folder sessions: %S Time Period: %T

  7. Klicken Sie auf Speichern.

  8. Sie können jetzt die Protokollquelle in JSA konfigurieren.

    So konfigurieren Sie das Trend Micro Office Scan-Gerät:

    1. Wählen Sie in der Liste Protokollquellentyp die Option Trend Micro Office Scan aus.

    2. Wählen Sie in der Liste Protokollkonfiguration die Option SNMPv2 aus.

Integration mit Trend Micro Apex One XG

Sie können ein Trend Micro Apex One XG-Gerät in das JSA-System integrieren.

Bevor Sie ein Trend Micro Apex One XG-Gerät in das JSA-System integrieren können, müssen Sie die folgenden Elemente konfigurieren:

  • SNMP-Einstellungen für Trend Micro Apex One XG

  • Benachrichtigungen des Administrators

  • Benachrichtigungen über Ausbrüche

Konfigurieren der allgemeinen Einstellungen in Trend Micro Apex One XG

Sie können ein Trend Micro Apex One XG-Gerät in JSA integrieren.

  1. Melden Sie sich bei der Apex One-Administrationsoberfläche an.

  2. Klicken Sie auf Administration >Benachrichtigungen >Allgemeine Einstellungen.

  3. Konfigurieren Sie die allgemeinen Benachrichtigungseinstellungen für SNMP-Traps.

  4. Geben Sie im Feld Server-IP-Adresse die IP-Adresse der JSA-Konsole ein.

  5. Geben Sie einen Community-Namen für Ihr Trend Micro Apex One-Gerät ein.

  6. Klicken Sie auf Speichern.

Sie müssen jetzt die Administratorbenachrichtigungen für Apex One konfigurieren.

Konfigurieren von Administratorbenachrichtigungen in Trend Micro Apex One XG

Administratoren können benachrichtigt werden, wenn bestimmte Sicherheitsrisiken von Trend Micro Apex One XG erkannt werden. Konfigurieren Sie das Gerät so, dass Benachrichtigungen über SNMP Trap gesendet werden.

  1. Klicken Sie auf Administration >Benachrichtigungen >Administrator.

  2. Klicken Sie auf die Registerkarte Kriterien .

  3. Wählen Sie die folgenden Optionen für die Benachrichtigung aus:

    • Viren-/Malware-Erkennung

    • Erkennung von Spyware/Grayware

    • C&C-Rückrufe

  4. Um Benachrichtigungen zu aktivieren, konfigurieren Sie die Registerkarte SNMP-Trap .

  5. Aktivieren Sie das Kontrollkästchen Benachrichtigung über SNMP-Trap aktivieren .

  6. Geben Sie die folgende Nachricht in das Feld ein:

    Virus/Malware: %v Spyware/Grayware: %T Computer: %s IP address: %i Domain: %m File: %p Date/Time: %y Result: %a User name: %n

    Spyware/Grayware: %v Endpoint: %s Domain: %m Date/Time: %y Result: %a

    Compromised Host: %CLIENTCOMPUTER% IP Address: %IP% Domain: %DOMAIN% Date/Time: %DATETIME% Callback address: %CALLBACKADDRESS% C&C risk level: %CNCRISKLEVEL% C&C list source: %CNCLISTSOURCE% Action: %ACTION%

  7. Klicken Sie auf Speichern.

Sie müssen jetzt Outbreak Notifications konfigurieren.

Konfigurieren von Benachrichtigungen über Ausbrüche in Trend Micro Apex One XG

Sie können Ihr Trend Micro Apex One XG-Gerät so konfigurieren, dass es Sie über Ausbrüche von Sicherheitsrisiken informiert. Definieren Sie einen Ausbruch anhand der Anzahl der Erkennungen und des Erkennungszeitraums.

  1. Klicken Sie auf Administration >Benachrichtigungen >Ausbruch.

  2. Klicken Sie auf die Registerkarte Kriterien .

  3. Geben Sie die Anzahl der Erkennungen und den Erkennungszeitraum für jedes Sicherheitsrisiko ein.

    Hinweis:

    Benachrichtigungen werden an einen Administrator gesendet, wenn das Kriterium die angegebene Erkennungsgrenze überschreitet.
    Tipp:

    Trend Micro empfiehlt, die Standardwerte für die Erkennungszahl und den Erkennungszeitraum zu verwenden.

  4. Um Benachrichtigungen zu aktivieren, klicken Sie auf die Registerkarte SNMP-Trap, und aktivieren Sie das Kontrollkästchen Benachrichtigung über SNMP-Trap aktivieren.

  5. Geben Sie die folgende Nachricht in das Feld ein:

    Number of virus/malware: %CV Number of computers: %CC

    Number of spyware/grayware: %CV Number of endpoints: %CC

    C&C callback detected: Accumulated log count: %C in the last %T hour(s)

  6. Klicken Sie auf Speichern.

Ändern des Datumsformats in JSA, damit es mit dem Datumsformat für Ihr Trend Micro Apex One-Gerät übereinstimmt

Wenn Ihr Trend Micro Apex One-Gerät das Datumsformat TT/MM/JJJJ verwendet, können Sie dieses Datumsformat in JSA mithilfe des DSM-Editors aktivieren.

Standardmäßig verwendet der Trend Micro Apex One DSM das Datumsformat TT/MM/JJJJ.

  1. Klicken Sie auf der Registerkarte Admin im Abschnitt Datenquellen auf DSM-Editor.

  2. Wählen Sie im Fenster "Protokollquellentyp auswählen " in der Liste "Protokollquellentyp" die Option " Trend Micro Office Scan" aus.

  3. Klicken Sie auf die Registerkarte Konfiguration , und legen Sie dann DSM-Parameterkonfiguration anzeigen auf Ein fest.

  4. Wählen Sie in der Liste Ereignissammler den Ereignissammler für die Protokollquelle aus.

  5. Legen Sie Datumsformat TT/MM/JJJJ verwenden auf Ein fest.

  6. Klicken Sie auf Speichern.

Ändern des Datumsformats in JSA 7.3 an das Datumsformat für Ihr Trend Micro Apex One-Gerät

Wenn Ihr Trend Micro Apex One-Gerät das Datumsformat TT/MM/JJJJ verwendet, können Sie dieses Datumsformat in JSA 7.3 über die Befehlszeile aktivieren.

Standardmäßig verwendet der Trend Micro Apex One DSM das Datumsformat TT/MM/JJJJ.

  1. Melden Sie sich über SSH als Root-Benutzer bei Ihrer JSA-Konsole an.

  2. Geben Sie den folgenden Befehl ein, um eine neue Eigenschaftendatei zu erstellen oder eine vorhandene Eigenschaftendatei zu bearbeiten:

    vi /opt/qradar/conf/Officescan.properties

  3. Um das Datumsformat TT/MM/JJJJ zu aktivieren, fügen Sie die folgende Zeile in die Textdatei ein:

    useDDMMYYYYDateFormat=true

  4. Um das Datumsformat TT/MM/JJJJ zu deaktivieren, fügen Sie die folgende Zeile in die Textdatei ein:

    useDDMMYYYYDateFormat=false

  5. Speichern Sie Ihre Änderungen und beenden Sie dann das Terminal.

  6. Starten Sie den Ereigniserfassungsdienst neu. Weitere Informationen finden Sie unter Neustart des Ereignissammlungsdienstes.

Konfigurieren Sie eine Protokollquelle in JSA mithilfe des SNMPv2-Protokolls. Weitere Informationen finden Sie unter SNMPv2-Protokollquellenparameter für Trend Micro Apex One.

SNMPv2-Protokollquellenparameter für Trend Micro Apex One

Wenn JSA die Protokollquelle nicht automatisch erkennt, fügen Sie der JSA-Konsole mithilfe des SNMPv2-Protokolls eine Trend Micro Apex One-Protokollquelle hinzu.

Wenn Sie das SNMPv2-Protokoll verwenden, müssen Sie bestimmte Parameter verwenden.

In der folgenden Tabelle werden die Parameter beschrieben, für die bestimmte Werte erforderlich sind, um SNMPv2-Ereignisse von Trend Micro Apex One zu erfassen:

Tabelle 1: SNMPv2-Protokollquellenparameter für den Trend Micro Apex One DSM

Parameter

Wert

Typ der Protokollquelle

Trend Micro Office-Scan

Beschreibung der Protokollquelle

Eine Beschreibung für die Protokollquelle.

Protokollkonfiguration

SNMPv2

Protokollquellen-ID

Die IP-Adresse oder der Hostname für die Protokollquelle kann als Kennung für Ereignisse von Ihrer Trend Micro Apex One-Appliance verwendet werden.

Gemeinschaft

Der SNMP-Community-Name, der für den Zugriff auf das System erforderlich ist, das SNMP-Ereignisse enthält. Der Standardwert ist Öffentlich.

OIDs in die Ereignisnutzlast einschließen

Wenn diese Option aktiviert ist, deaktivieren Sie das Kontrollkästchen OIDs in Ereignisnutzlast einschließen .

Mit dieser Option kann die SNMP-Ereignisnutzlast mithilfe von Name-Wert-Paaren anstelle des Standardformats für Ereignisnutzlast erstellt werden. Das Einfügen von OIDs in die Ereignisnutzlast ist für die Verarbeitung von SNMPv2- oder SNMPv3-Ereignissen von bestimmten DSMs erforderlich.