趋势微顶

趋势科技APEX是一种抗病毒产品,提供威胁检测和响应。您可以通过Syslog发送反病毒日志到InsightIdr,以接收关于趋势科技APEX Onex中发生的事件的警报。

要设置趋势科技顶点,您需要:

  1. 配置趋势科技Apex 1,将数据发送到采集器
  2. 成立于InsightIDR趋势科技的Apex一个事件源
  3. 验证配置工作

配置趋势科技APEX ONE将数据发送到收藏器

要发送趋势科技的Apex一个日志InsightIDR,您必须在顶点中心配置日志转发。顶点中心是数据管理系统和日志转发趋势科技的Apex一个。

使用的英语格式

趋势科技顶点1日志必须以CEF格式发送到InsightIDR。有关如何在Apex Central中配置syslog转发的说明,请参阅其文档:https://docs.trendmicro.com/en-us/enterprise/trend-micro-apex-central -2019-online-help/detections/logs_001/syslog-forward.aspx.

成立了趋势科技的Apex一个在InsightIDR

在InsightIDR中配置Trend Micro Apex One,步骤如下:

  1. 从左边的菜单,转到数据采集
  2. 当“数据采集”页面出现时,点击设置事件源下拉选择添加事件源
  3. 从安全数据部分,单击病毒扫描图标。将出现“添加事件源”面板。
  4. 选择收集器和事件源。如果您愿意,您还可以命名您的活动源。
  5. 选择时区与事件源日志的位置匹配。
  6. 如果您正在发送警报之外的其他事件,请选择未经过滤的日志复选框。
  7. 配置您的默认域和任何高级事件源设置
  8. 选择聆听网络端口身为你的收集方法
  9. 进入一个港口号码。
  10. 选择协议。

您必须在在Apex Central配置时选择您选择的InsightIDR中的相同协议。如果您在Apex Central中选择了SSL / TLS,请选择TCP,并选择在第11步此事件源进行加密。

  1. 如果您选择TCP作为协议,您也可以选择加密加密事件源并下载Rapid7证书
  2. 单击节省按钮。

验证配置

从左侧菜单中,单击日志搜索查看您的原始日志,以确保事件转发到收集器。选择适用的日志集和它们中的日志名称。日志名称将是事件源的名称或“趋势科技的Apex一个”如果你没有名字的事件源。趋势科技的Apex一个日志流入这些日志设置:

  • 病毒感染文件
  • Web代理文件
  • 入口身份验证文档
  • 先进的恶意软件文件

示例输入日志:

         
1
<133> 2019年7月30日22时38分26秒RAPID7.offices.local CEF:0 |趋势科技|控制管理| 7.0 | AV:清除| TROJ_FRS.VSNTGO19 | 3 | = deviceExternalId 551 RT = 2019年7月31日2点36分:35 GMT + 00:00 CNT = 1点雅= RAPID7AOSDMWLKS ACT =清除成功cn1Label = VLF_PatternNumber CN1 = 1526500 cn2Label = VLF_SecondAction CN2 = 1 cs1Label = VLF_FunctionCode CS1 =实时扫描cs2Label = VLF_EngineVersion CS2 = 11.000.1006 cs3Label = CLF_ProductVersion CS3= 12.1 cs4Label = CLF_ReasonCode CS4 =病毒日志cs5Label = VLF_FirstActionResult CS5 =文件清洁cs6Label = VLF_SecondActionResult CS6 = N / A =猫1703 dvchost = R7ASP54154 cn3Label = CLF_ServerityCode CN3 = 2 FNAME = adobe_flash_player_0494650184 [1] .EXE文件路径= C:\\\\用户\\\\用户\\\\ AppData的\\\\当地\\\\套餐\\\\ microsoft.microsoftedge \\\\ AC \\\\#!001 \\\\ MicrosoftEdge \\\\缓存\\\\ R7654354 \\\\ DST = 10.77.20.135 fileHash = C3B16395727C822960A73FF7B914FE3FB4FC3813 deviceFacility =防毒
2
<133> 2019年7月31日07:08:28 Rapid7.ofces.local CEF:0 |趋势科学|控制管理中心| 7.0 | WB:36 | 36 | 3 | DeviceeXternalid = 18089 Rt = Jul 31 2019 2019 10:56:55 GMT+00:00 app = 5 cnt = 1 dpt = 80动作= 2 src = 10.81.20.53 cs1label = slf_policyname cs1 =内部用户策略devicedirection = 2 cat = 36 dvchost = r7asp54154请求= http://trakwp.com/scz?p \\ = YTE1NjA5OTkyOTc672JAqCVcgVzwnWMw5ltc%2BmA14J1ApzolWN%2BIMzguB03GrTTivwWF9FMB4vW3kQL905hJtilNSPCRfVOD%2B5C2LHDA%2B2SPHnmnMSjovC4S0UWY6zgQYhEB%2B9JLvTcHZ3oeP%2BDggqUC76kh3oKzd0ZlxZqGcuqb5ijJNjl5CKNueKBekg2WXszhoeOYfi1Scb8FcIda94WCLrr ... 2BwwFw%2BBCop9%2FW%2B4ewvsFcPLOmMXtfrp6l1YPqD%2FuQ57pPsfKipQ89cVJ0u32sgLrlAofA%2BIg7w34cqBg%2BG%2Bc0N8xl8A%2B9T%2BIozvcc4t6hdQYg3x8%2BoTu4kBexG9yNCZJYEFHcCJCkrX7SJ7WmqqjtpD%2F74C%2Bw1aECs4HwJ3VQ04H8dsQO4WaphdcJsy4IGDFol8Hz4EWpj8&吨\\ = 1&DPV \\ = 98&ndom \\ = 5&st \\ =&l \\ = 1 shost = trasimene217 deviceprocessname = c:\\\\程序文件(x86)\\\\ google \\\\ chrome \\\\ \\\\Chrome.exe CN3Label = Web_Repition_Rating CN3 = 49 DeviceFacility =防毒墙网络版CN2Label = slf_severitylevel cn2 = 100
3.
<133> 2019年7月31日07:08:28 Rapid7.ofces.local CEF:0 |趋势科学| Apex Central | 2019 | 700211 |托管产品登录/登录事件| 3 | DeviceeXternalid = 11 Shost = Trebia218 DeviceFacility = Microsoft扫描仪= ScanmailExchange CS1Label = Product_Version CS1 = 14 CN1Label = Command_Status CN1 = 110 MSG =具有管理员角色的用户已登录。详情信息:用户名:Test2013 \\\\ Administrator,IP地址:100.204.166.127,EventType:登录/ out,sourcetype:smex ui。#015