Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Trend Micro Apex One

Un DSM de Trend Micro Apex One para JSA acepta eventos mediante SNMPv2.

Trend Micro Apex One se conocía anteriormente como Trend Micro OfficeScan. El nombre sigue siendo el mismo en JSA.

JSA registra eventos relevantes para eventos de virus y spyware. Antes de configurar un dispositivo de Trend Micro en JSA, debe configurar el dispositivo para que reenvíe eventos SNMPv2.

JSA dispone de dos opciones para la integración con un dispositivo de Trend Micro. La opción de integración que elija depende de la versión de su dispositivo:

Integración con Trend Micro Apex One 8.x

Puede integrar un dispositivo Trend Micro Apex One 8.x con JSA.

  1. Inicie sesión en la interfaz de administración de Apex One.

  2. Seleccione Notificaciones.

  3. Configure los ajustes generales para las capturas SNMP: En el campo Dirección IP del servidor , escriba la dirección IP del JSA.

    Nota:

    No cambie la información de trampas comunitarias.

  4. Haga clic en Guardar.

  5. Configurar la notificación de alerta estándar: seleccione Notificaciones estándar.

  6. Haga clic en la pestaña Captura SNMP .

  7. Seleccione la casilla de verificación Habilitar notificación a través de captura SNMP para detecciones de virus/malware .

  8. Escriba el siguiente mensaje en el campo (este debería ser el valor predeterminado):

    Virus/Malware: %v Computer: %s Domain: %m File: %p Date/Time: %y Result: %a

  9. Seleccione la casilla de verificación Habilitar notificación mediante captura SNMP para detecciones de spyware/grayware .

  10. Escriba el siguiente mensaje en el campo (este debería ser el valor predeterminado):

    Spyware/Grayware: %v Computer: %s Domain: %m Date/Time: %y Result: %a

  11. Haga clic en Guardar.

  12. Configurar notificaciones de alerta de brote: seleccione Notificaciones de desactivación.

  13. Haga clic en la pestaña Captura SNMP .

  14. Seleccione la casilla de verificación Habilitar notificación a través de captura SNMP para brotes de virus/malware .

  15. Escriba el siguiente mensaje en el campo (este debería ser el valor predeterminado):

    Number of viruses/malware: %CV Number of computers: %CC Log Type Exceeded: %A Number of firewall violation logs: %C Number of shared folder sessions: %S Time Period: %T

  16. Seleccione la casilla de verificación Habilitar notificación mediante captura SNMP para brotes de spyware/grayware .

  17. Escriba el siguiente mensaje en el campo (este debería ser el valor predeterminado):

    Number of spyware/grayware: %CV Number of computers: %CC Log Type Exceeded: %A Number of firewall violation logs: %C Number of shared folder sessions: %S Time Period: %T

  18. Haga clic en Guardar.

Integración con Trend Micro Apex One 10.x

Son necesarios varios pasos preparatorios antes de configurar JSA para que se integre con un dispositivo Trend Micro Apex One 10.x.

Haga lo siguiente:

  1. Configure los ajustes de SNMP para Trend Micro Apex One 10.x.

  2. Configure notificaciones estándar.

  3. Configure los criterios de brote y las notificaciones de alerta.

Configuración de ajustes generales en Trend Micro Apex One

Puede integrar un dispositivo Trend Micro Apex One 10.x con JSA.

  1. Inicie sesión en la interfaz de administración de Apex One.

  2. Seleccione Notificaciones >Notificaciones de administrador >Configuración general.

  3. Configure los valores generales para las capturas SNMP: En el campo Dirección IP del servidor , escriba la dirección IP de su JSA.

  4. Escriba un nombre de comunidad para su dispositivo Trend Micro Apex One.

  5. Haga clic en Guardar.

Ahora debe configurar las notificaciones estándar para Apex One.

Configurar notificaciones estándar en Trend Micro Apex One

Puede configurar notificaciones estándar.

  1. Seleccione Notificaciones >Notificaciones de administrador >Notificaciones estándar.

  2. Defina la configuración de los criterios. Haga clic en la pestaña Criterios .

  3. Seleccione la opción para alertar a los administradores sobre la detección de virus/malware y spyware/grayware, o cuando la acción sobre estos riesgos de seguridad no tenga éxito.

  4. Para habilitar las notificaciones: Configure la pestaña Captura SNMP .

  5. Seleccione la casilla de verificación Habilitar notificación a través de captura SNMP .

  6. Escriba el siguiente mensaje en el campo:

    Virus/Malware: %v Spyware/Grayware: %T Computer: %s IP address: %i Domain: %m File: %p Date/Time: %y Result: %a User name: %n

  7. Haga clic en Guardar.

Ahora debe configurar las notificaciones de brotes.

Configuración de criterios de brote y notificaciones de alerta en Trend Micro Apex One

Puede configurar criterios de brote y notificaciones de alerta para su dispositivo Trend Micro Apex One.

  1. Seleccione Notificaciones >Notificaciones de administrador >Notificaciones de brotes.

  2. Haga clic en la pestaña Criterios .

  3. Escriba el número de detecciones y el período de detección para cada riesgo de seguridad.

    Los mensajes de notificación se envían a un administrador cuando los criterios superan el límite de detección especificado.

    Nota:

    Trend Micro sugiere que utilice los valores predeterminados para el número de detección y el período de detección.

  4. Seleccione Enlace de sesión de carpeta compartida y habilite Apex One para supervisar las infracciones del firewall y las sesiones de carpetas compartidas.

    Nota:

    Para ver los equipos en la red con carpetas compartidas o los equipos que actualmente navegan por carpetas compartidas, puede seleccionar el vínculo numérico en la interfaz.

  5. Haga clic en la pestaña Captura SNMP .

    1. Seleccione la casilla de verificación Habilitar notificación a través de captura SNMP.

  6. Escriba el siguiente mensaje en el campo:

    Number of viruses/malware: %CV Number of computers: %CC Log Type Exceeded: %A Number of firewall violation logs: %C Number of shared folder sessions: %S Time Period: %T

  7. Haga clic en Guardar.

  8. Ahora está listo para configurar el origen de registro en JSA.

    Para configurar el dispositivo de Trend Micro Office Scan:

    1. En la lista Tipo de origen de registro, seleccione la opción Trend Micro Office Scan.

    2. En la lista Configuración de protocolo, seleccione la opción SNMPv2.

Integración con Trend Micro Apex One XG

Puede integrar un dispositivo Trend Micro Apex One XG con el sistema JSA.

Antes de poder integrar un dispositivo Trend Micro Apex One XG con el sistema JSA, debe configurar los siguientes elementos:

  • Configuración de SNMP para Trend Micro Apex One XG

  • Notificaciones de administrador

  • Notificaciones de brotes

Configuración de ajustes generales en en Trend Micro Apex One XG

Puede integrar un dispositivo Trend Micro Apex One XG con JSA.

  1. Inicie sesión en la interfaz de administración de Apex One.

  2. Haga clic en Administración > notificaciones >Configuración general.

  3. Configure las opciones generales de notificación para las capturas SNMP.

  4. En el campo Dirección IP del servidor , escriba la dirección IP de la consola de JSA.

  5. Escriba un nombre de comunidad para su dispositivo Trend Micro Apex One.

  6. Haga clic en Guardar.

Ahora debe configurar las notificaciones de administrador para Apex One.

Configuración de notificaciones de administrador en Trend Micro Apex One XG

Trend Micro Apex One XG puede notificar a los administradores cuando detecte ciertos riesgos de seguridad. Configure el dispositivo para enviar notificaciones a través de SNMP Trap.

  1. Haga clic en Administración >Notificaciones >Administrador.

  2. Haga clic en la pestaña Criterios .

  3. Seleccione las siguientes opciones para la notificación:

    • Detección de virus/malware

    • Detección de spyware/grayware

    • Devoluciones de llamada de C&C

  4. Para habilitar las notificaciones, configure la pestaña Captura de SNMP .

  5. Seleccione la casilla de verificación Habilitar notificación a través de captura SNMP .

  6. Escriba el siguiente mensaje en el campo:

    Virus/Malware: %v Spyware/Grayware: %T Computer: %s IP address: %i Domain: %m File: %p Date/Time: %y Result: %a User name: %n

    Spyware/Grayware: %v Endpoint: %s Domain: %m Date/Time: %y Result: %a

    Compromised Host: %CLIENTCOMPUTER% IP Address: %IP% Domain: %DOMAIN% Date/Time: %DATETIME% Callback address: %CALLBACKADDRESS% C&C risk level: %CNCRISKLEVEL% C&C list source: %CNCLISTSOURCE% Action: %ACTION%

  7. Haga clic en Guardar.

Ahora debe configurar las notificaciones de brotes.

Configuración de notificaciones de brotes en Trend Micro Apex One XG

Puede configurar el dispositivo Trend Micro Apex One XG para que le notifique los brotes de riesgo de seguridad. Defina un brote por el número de detecciones y el período de detección.

  1. Haga clic en Administración >Notificaciones >Brote.

  2. Haga clic en la pestaña Criterios .

  3. Escriba el número de detecciones y el período de detección para cada riesgo de seguridad.

    Nota:

    Los mensajes de notificación se envían a un administrador cuando los criterios superan el límite de detección especificado.
    Propina:

    Trend Micro sugiere que utilice los valores predeterminados para el número de detección y el período de detección.

  4. Para habilitar las notificaciones, haga clic en la pestaña Captura SNMP y seleccione la casilla de verificación Habilitar notificación a través de captura SNMP .

  5. Escriba el siguiente mensaje en el campo:

    Number of virus/malware: %CV Number of computers: %CC

    Number of spyware/grayware: %CV Number of endpoints: %CC

    C&C callback detected: Accumulated log count: %C in the last %T hour(s)

  6. Haga clic en Guardar.

Cambiar el formato de fecha en JSA para que coincida con el formato de fecha de su dispositivo Trend Micro Apex One

Si su dispositivo Trend Micro Apex One utiliza el formato de fecha dd/MM/aaaa, puede habilitar este formato de fecha en JSA utilizando el Editor DSM.

De forma predeterminada, Trend Micro Apex One DSM utiliza el formato de fecha dd/MM/aaaa.

  1. En la pestaña Admin , en la sección Fuentes de datos , haga clic en Editor DSM.

  2. En la ventana Seleccionar tipo de origen de registro , seleccione Trend Micro Office Scan en la lista de tipos de origen de registro.

  3. Haga clic en la pestaña Configuración y, a continuación, active Mostrar configuración de parámetros de DSM en ON.

  4. En la lista Recopilador de eventos , seleccione el recopilador de eventos para el origen de registro.

  5. Establezca Usar formato de fecha dd/MM/aaaa en activado.

  6. Haga clic en Guardar.

Cambio del formato de fecha en JSA 7.3 para que coincida con el formato de fecha de su dispositivo Trend Micro Apex One

Si el dispositivo Trend Micro Apex One utiliza el formato de fecha dd/MM/aaaa, puede habilitar este formato de fecha en JSA 7.3 mediante la línea de comandos.

De forma predeterminada, Trend Micro Apex One DSM utiliza el formato de fecha dd/MM/aaaa.

  1. Con SSH, inicie sesión en la consola de JSA como usuario raíz.

  2. Para crear un archivo de propiedades nuevo o editar un archivo de propiedades existente, escriba el comando siguiente:

    vi /opt/qradar/conf/Officescan.properties

  3. Para habilitar el formato de fecha dd/MM/aaaa, agregue la siguiente línea en el archivo de texto:

    useDDMMYYYYDateFormat=true

  4. Para deshabilitar el formato de fecha dd/MM/aaaa, agregue la siguiente línea en el archivo de texto:

    useDDMMYYYYDateFormat=false

  5. Guarde los cambios y, a continuación, salga del terminal.

  6. Reinicie el servicio de recopilación de eventos.

Configure un origen de registro en JSA mediante el protocolo SNMPv2. Para obtener más información, consulte Parámetros de origen de registro SNMPv2 para Trend Micro Apex One.

Parámetros de origen de registro SNMPv2 para Trend Micro Apex One

Si JSA no detecta automáticamente el origen de registro, agregue un origen de registro de Trend Micro Apex One en la consola de JSA mediante el protocolo SNMPv2.

Cuando se utiliza el protocolo SNMPv2, hay parámetros específicos que se deben utilizar.

En la siguiente tabla se describen los parámetros que requieren valores específicos para recopilar eventos SNMPv2 de Trend Micro Apex One:

Tabla 1: Parámetros de origen de registro SNMPv2 para Trend Micro Apex One DSM

Parámetro

Valor

Tipo de origen de registro

Escaneo de oficinas de Trend Micro

Descripción de origen de registro

Descripción del origen de registro.

Configuración de protocolos

SNMPv2

Identificador de origen de registro

La dirección IP o el nombre de host de la fuente de registro se pueden utilizar como identificador para eventos del dispositivo Trend Micro Apex One.

Comunidad

El nombre de comunidad SNMP necesario para acceder al sistema que contiene eventos SNMP. El valor predeterminado es Público.

Incluir OID en la carga del evento

Si está seleccionada, desactive la casilla de verificación Incluir OID en la carga del evento .

Esta opción permite que la carga de evento SNMP se construya mediante pares nombre-valor en lugar del formato de carga de evento estándar. Incluir OID en la carga del evento es necesario para procesar eventos SNMPv2 o SNMPv3 de ciertos DSM.