趋势微顶点1

趋势科技Apex One是一款提供威胁检测和响应的防病毒产品。您可以通过syslog方式将防病毒日志发送到InsightIDR,以便接收趋势科技顶点1发生的事件的告警。

要建立Trend Micro Apex One,你需要:

  1. 配置Trend Micro Apex One将数据发送到收集器
  2. 在InsightIDR中创建Trend Micro Apex One事件源
  3. 验证配置是否有效

配置趋势科技顶点1,将数据发送到采集器

如果要将趋势科技Apex 1的日志发送到InsightIDR,需要在Apex中心配置syslog转发功能。Apex Central是Trend Micro Apex One的数据管理系统和日志转发器。

使用CEF格式

您必须以CEF格式向InsightIDR发送Trend Micro Apex One日志。有关如何在Apex Central中配置系统日志转发的说明,请参阅其文档:https://docs.trendmicro.com/en-us/enterprise/trend-micro-apex-central-2019-online-help/detections/logs_001/syslog-forwarding.aspx

在InsightIDR中建立Trend Micro Apex One

要在InsightIDR中配置Trend Micro Apex One,请执行以下操作:

  1. 从左侧菜单,转到数据收集
  2. 当“数据收集”页面出现时,单击设置事件源下拉选择添加事件源
  3. 从安全数据部分中,单击病毒扫描图标。将出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。
  5. 选择时区与事件源日志的位置匹配的。
  6. 如果要发送警报以外的其他事件,请选择未经过滤的日志复选框。
  7. 配置您的默认域和任何高级事件源设置
  8. 选择监听网络端口作为你的收集的方法
  9. 输入一个港口数字
  10. 选择一个协议。

在InsightIDR中选择的协议必须与在Apex Central中配置时选择的协议相同。如果在“Apex Central”中选择了“SSL/TLS”,请勾选传输控制协议,并在步骤11中选择加密此事件源。

  1. 如果您选择TCP作为协议,您也可以选择加密要加密事件源并下载Rapid7证书
  2. 点击保存按钮。

验证配置

从左边的菜单中,单击日志搜索查看原始日志,以确保事件被转发到收集器。选择适用的日志集和其中的日志名称。日志名称将是事件源名称或“趋势科技顶点1”,如果您没有命名事件源。趋势科技Apex 1的日志流向以下日志集:

  • 病毒感染的文件
  • Web代理文件
  • 进入认证文件
  • 先进的恶意软件文档

示例输入日志:

         

          

           
          

         

          

           

            1

           <133> july 30 2019 22:38:26 RAPID7.offices。本地CEF:0|趋势科技|控制管理|7.0|AV:文件清理|TROJ_FRS。VSNTGO19 | 3 | deviceExternalId = 551 rt = 2019年7月31日格林尼治时间02:36:35 + 00:00问= 1 dhost = RAPID7AOSDMWLKS行动=文件清理cn1Label = VLF_PatternNumber cn1 = 1526500 cn2Label = VLF_SecondAction cn2 = 1 cs1Label = VLF_FunctionCode cs1 =实时扫描cs2Label = VLF_EngineVersion cs2 = 11.000.1006 cs3Label = CLF_ProductVersion cs3 = 12.1 cs4Label = CLF_ReasonCode cs4 =病毒日志cs5Label=VLF_FirstActionResult cs5=File cleaned cs6Label=VLF_SecondActionResult cs6=N/A cat=1703 dvchost=R7ASP54154 cn3Label=CLF_ServerityCode cn3=2 fname=adobe_flash_player_0494650184[1].exe filePath=C:\\\\Users\\\\user\\\\AppData\\\\Local\\\\Packages\\\\ microsoftedge\\\\AC\\\\#!001\\\\MicrosoftEdge\\\\Cache\\\\R7654354\\\\ dst=10.77.20.135 fileHash=C3B16395727C822960A73FF7B914FE3FB4FC3813 deviceFacility=OfficeScan
          

          

           

            2

           <133> july 31 2019 07:08:28 RAPID7.offices。local CEF:0|Trend Micro|Control Manager|7.0|WB:36|36|3|deviceExternalId=18089 rt= jub31 2019 10:56:55 GMT+00:00 app=5 cnt=1 dpt=80 act=2 src=10.81.20.53 cs1Label=SLF_PolicyName cs1=Internal User Policy deviceDirection=2 cat=36 dvchost=R7ASP54154请求= http://trakwp.com/scz?p \ \ = YTE1NjA5OTkyOTc672JAqCVcgVzwnWMw5ltc % 2 bma14j1apzolwn % 2 bimzgub03grttivwwf9fmb4vw3kql905hjtilnspcrfvod % 2 b5c2lhda % 2 b2sphnmnmsjovc4s0uwy6zgqyheb % 2 b9jlvtchz3oep % 2 bdggquc76kh3okzd0zlxzqgcuqb5ijjnjl5cknuekbekg2wxszhoeoyfi1scb8fcida94wclrr…2 bwwfw % 2 bbcop9 % 2 fw % 2 b4ewvsfcplommxtfrp6l1ypqd % 2 fuq57ppsfkipq89cvj0u32sglrlaofa % 2 big7w34cqBg % 2 bg % 2 bc0n8xl8a % 2 b9t % 2 biozvcc4t6hdqyg3x8 % 2 botu4kbexg9ynczjyefhccjckrx7sj7wmqqjtpd % 2 f74c % 2 bw1aecs4hwj3vq04h8dsqo4waphdcjsy4igdfol8hz4ewpj8&t \ \ = 1第一\ \ = 98 &ndom \ \ = 5办法\ \ = l \ \ = 1 shost = TRASIMENE217 deviceProcessName = C: \ \ \ \程序文件(x86) \ \ \ \谷歌Chrome \ \ \ \ \ \ \ \程序\ \ \ \ chrome.exe cn3Label = Web_Reputation_Rating C·n³= 49deviceFacility = OfficeScan cn2Label = SLF_SeverityLevel cn2 = 100
          

          

           

            3.

           <133> july 31 2019 07:08:28 RAPID7.offices。local CEF:0|Trend Micro|Apex Central|2019|700211|Managed Product Logon/Logoff Events|3|deviceExternalId=11 shost=TREBIA218 deviceFacility=ScanMail for Microsoft Exchange cs1Label=Product_Version cs1=14 cn1Label=Command_Status cn1=110 msg= Administrator用户已登录。详细信息:UserName:TEST2013\\\\administrator,IP address:100.204.166.127,EventType: login /out,SourceType:SMEX UI。# 015