趋势微防毒墙网络版
趋势科技防毒墙网络版是一种安全性和病毒扫描产品,可以进一步上下文化您的用户数据。
在你开始之前
Trend Micro OfficeScan无法直接向InsightIDR发送系统日志。但是,InsightIDR可以使用两种方法读取Trend Micro数据:
您必须是Trend Micro OfficeScan管理员,才能配置设备内的任何更改。
配置NXLog以捕获防毒墙网络版事件
要使用NXLog捕获OfficeScan事件,请执行以下操作:
- 在InsightIDR中配置OfficeScan事件源
- 将OfficeScan配置为将其事件记录到Windows应用程序日志中
- 将nxlog安装到防毒墙网络版服务器上,并配置nxlog以收集防毒墙网络版事件并将其转发给InsightIdr
配置OfficeScan事件源
与其他事件源不同,您应该在配置设备本身之前配置Trend Micro OfficeScan事件源。
为此:
- 从仪表板中选择数据收集在左手菜单上。
- 出现“数据收集”页面时,单击“设置事件源”下拉列表,然后选择“添加事件源”。
- 从“安全数据”部分,单击病毒扫描偶像此时会出现“添加事件源”面板。
- 选择收集器和事件源。如果您愿意,您还可以命名您的活动源。
- 选择时区与事件源日志的位置匹配的。
- 可选择选择发送未过滤原木.
- 配置您的默认域还有高级事件源设置.
- 选择一个收集方法并指定端口和协议。对于趋势微防毒墙网络版事件源,建议您选择Syslog - TCP。选择加密事件源并下载rapt7证书.
- 请注意,在趋势科技防毒墙网络版服务器上配置NXLog时需要快速7证书。
- 点击节省按钮。
配置防毒墙网络版事件
首先,请确保在任何其他位置发送事件之前,请在Windows应用程序日志中写入Windows应用程序日志中的趋势微防毒墙网络版。
将服务器事件写入Windows应用程序日志:
- 以root用户身份登录Trend Micro OfficeScan控制台。
- 在左侧菜单上,选择通知>管理员通知>标准通知。
- 选择NT事件日志标签在右边。
- 在“间谍软件/灰色软件检测”部分中,检查通过NT事件日志启用通知盒子。
- 您可以接受默认消息,也可以使用以下变量修改消息:
类型 |
变量 |
描述 |
|---|---|---|
病毒/恶意软件 |
%五 |
病毒/恶意软件名称 |
病毒/恶意软件 |
% |
带有病毒/恶意软件的端点 |
病毒/恶意软件 |
%我 |
端点的IP地址 |
病毒/恶意软件 |
%c |
端点的MAC地址 |
病毒/恶意软件 |
%m |
终点 |
病毒/恶意软件 |
%p |
病毒/恶意软件的位置 |
病毒/恶意软件 |
%y |
病毒/恶意软件检测的日期和时间 |
病毒/恶意软件 |
%e |
病毒扫描引擎版本 |
病毒/恶意软件 |
%r |
病毒图案版本 |
病毒/恶意软件 |
%a |
对安全风险执行的行动 |
病毒/恶意软件 |
%n |
用户登录到受感染的端点的名称 |
间谍软件/灰色软件 |
% |
带间谍软件/灰色软件的端点 |
间谍软件/灰色软件 |
%我 |
端点的IP地址 |
间谍软件/灰色软件 |
%m |
终点 |
间谍软件/灰色软件 |
%y |
间谍软件/灰色软件检测的日期和时间 |
间谍软件/灰色软件 |
%n |
检测时登录到端点的用户的名称 |
间谍软件/灰色软件 |
%T |
间谍软件/灰色软件和扫描结果 |
间谍软件/灰色软件 |
%五 |
间谍软件/灰色软件名称 |
间谍软件/灰色软件 |
%a |
对安全风险执行的行动 |
- 点击节省按钮。
- 选择标准标签。
- 在“间谍软件/灰色软件检测”部分中,选择检测到间谍软件/灰色软件时发送通知单选按钮。
- 点击节省按钮。
您可以从以下Trend Micro链接阅读有关管理员通知的更多信息:
- http://docs.trendmicro.com/en-us/enterprise/officescan-120-server-online-help/scanning-for-securit/security-risk-notifi/security-risk-notifi1/configuring-security.aspx.
- http://docs.trendmicro.com/all/ent/officescan/v10.6/en-us/osce_10.6_olhsrv/ohelp/server/sriskadnotset.htm#XREF_37283_Administrator
生成测试事件
您可以在OfficeScan中生成事件,以测试事件是否按预期写入Windows应用程序日志。
为此,您可以为此确切目的下载名为“EICAR”的测试恶意软件文件或字符串。按照以下方向:http://docs.trendmicro.com/all/ent/de/v1.5/en-us/de_1.5_olh/ctm_ag/ctm1_ag_ch8/t_test_eicar_file.htm.
配置NXLog
您可以使用NXLoG从防毒墙网络版服务器捕获事件。
为此:
- 安装NXLOG.到趋势微防毒墙网络版服务器上。如果启动,请停止nxlog服务。
- 将Rapid7证书复制到中指定的位置
nxlog.conf文件或C:\ Program Files(x86)\ nxlog \ cert \ Rapid7ca.pem - 替换内容
nxlog.conf使用以下文件归档:
nxlog.conf
1.
##有关更多配置选项,请参阅nxlog参考手册
2.
##它应该在本地安装,也可用
3.
##在线http://nxlog.org/nxlog-docs/en/nxlog-reference-manual.html
4.
5.
##请将根目录设置为安装nxlog的文件夹,
6.
##否则它不会启动。
7.
8.
#define根c:\ program files \ nxlog
9
定义根C:\ Program Files(x86)\ nxlog
10.
11.
moduledir%根%\模块
12.
CacheDir%ROOT%\data
13.
PIDFILE%root%\ data \ nxlog.pid
14.
SpoolDir%ROOT%\data
15.
日志文件%ROOT%\data\nxlog.log
16.
17.
#在旋转日志或调试时包含Fileop
18.
<扩展文件>
19.
模块xm_fileop.
20.
21.
22.
\
41.
\
42.
\
43.
\
44.
45.
- 编辑内容
nxlog.conf文件将趋势微防毒墙网络版事件指向InsightIdr收集器。 - 保存文件,然后启动NXLog服务。
验证配置
要验证此配置是否有效,请在以下格式中查找InsightIdr中的事件:
文本
1.
2015-04-06 15:32:12 pvbtmav.mycompany.com警告500 nt授权\ system病毒/恶意软件:eicar_test_1计算机:IT68域名:tor \ platte_city \ file:c:\ users \ jsmith \ desktop \新文文档。TXT日期/时间:4/6/2015 15:31:35结果:病毒成功检测到,无法执行清洁动作(隔离)
配置趋势微控制管理器
如果还有趋势科技控制管理器,则可以配置防毒墙网络版将其数据转发到控制管理中心,然后可以将其转发到Syslog服务器。以下说明适用于控制管理中心6.0版。
要配置系统日志转发,请执行以下操作:
- 登录到Control Manager控制台。
- 从顶部菜单中,选择管理>事件中心>常规事件设置。
- 在“syslog设置”框中,输入要接收防毒墙网络版数据的InsightIdr收集器和唯一服务器端口的IP地址。
- 点击节省按钮。
- 从顶部菜单中,选择管理>活动中心。
- 扩展警报部分和每个事件,选择收件人关联。
- 在“收件人”页面上,检查框中Windows事件日志通知和syslog。
- 点击节省按钮。
- 点击好的按钮完成配置。
没有看到日志数据?
InsightIDR仅在发现病毒时从病毒扫描事件源解析事件。