趋势科技深度安全

趋势科技深度安全为物理服务器、虚拟服务器和云服务器提供高级服务器安全。如果您是Deep Security客户,您可以配置与InsightIDR的集成,以便通过syslog服务器连接将Deep Security事件转发到IDR。通过适当的集成,Deep Security日志通知IDR中的病毒感染、防火墙、IDS和资产身份验证文档。

要建立您的趋势科技深度安全集成:

  1. 在InsightIDR中配置趋势科技深度安全事件源
  2. 配置趋势科技深度安全将数据发送到您的采集器

在InsightIDR中配置趋势科技深度安全事件源

首先,在InsightIDR中建立趋势科技深度安全事件源,接收转发的事件。

建立趋势科技深度安全事件源:

  1. 从左边的菜单,转到数据收集
  2. 单击设置事件源下拉菜单并选择添加事件源
  3. 从“安全数据”部分,单击病毒扫描图标。出现“添加事件源”面板。
  4. 选择你的收集器
  5. 选择“趋势科技深度安全”事件源.您还可以通过输入显示名称如果你想要的。
  6. 选择时区与事件源日志的位置匹配。
  7. 你可以选择发送未经过滤的日志到日志搜索。
  8. 你可以指定默认域或者在需要的时候添加一个新域。
  9. 选择监听网络端口为您的“收集方法”。
  10. 输入一个港口号码。

端口号和IP地址

注意与IDR采集器关联的端口号和IP地址。稍后配置深度安全事件转发时,您将需要两者。

  1. 选择一个协议
  2. 如果您选择TCP作为协议,您也可以选择加密加密事件源并下载Rapid7证书

Rapid7证书导入

要在深度安全管理器控制台导入Rapid7证书,请转到管理>系统设置>安全并单击查看证书列表按钮。出现一个模态,允许您导入.pem文件。

  1. 单击保存按钮。

配置趋势科技深度安全将数据发送到您的采集器

在InsightIDR中设置趋势科技深度安全事件源后,可以通过配置深度安全将告警转发给IDR。

配置过程中有3个任务

  1. 允许事件转发网络流量
  2. 定义Syslog配置
  3. 提出安全事件

任务1:允许事件转发网络流量

所有路由器、防火墙和安全组必须允许通过在IDR中设置事件源时指定的端口从Deep security Manager到InsightIDR Collector的入站流量。您的InsightIDR Collector必须可以通过互联网访问,且其域名必须是全局dns可解析的。这意味着你需要在IDR收集器的内部IP地址和公共IP地址之间创建一个网络地址转换(NAT)。

任务2:定义Syslog配置

Syslog配置定义了转发事件时可以使用的目的地和设置。

  1. 趋势科技深度安全,执行>普通对象>其他> Syslog配置
  2. 点击New >新配置
  3. 在“General”选项卡,配置:
  • 的名字:标识配置的唯一名称。
  • 描述:可选配置描述信息。
  • 日志源标识符:替代Deep Security Manager主机名的可选标识符。此设置不适用于Deep Security Agent直接发送的事件,Deep Security Agent总是使用自己的主机名作为日志源ID。如果Deep Security Manager是多节点的,那么每个服务器节点都有不同的主机名。日志源id可以不同。如果需要无论主机名如何都保持ID相同(例如,出于过滤目的),可以在这里配置它们的共享日志源ID。
  • 服务器名称: IDR采集器的IP地址
  • 服务器端口: IDR事件源中指定的端口号
  • 运输:表示传输协议是否安全(TLS)。TLS要求您将“代理应该转发日志”设置为“通过深度安全管理器”。代理不支持TLS转发。使用UDP, Syslog消息被限制为64 KB。如果消息较长,数据可能会被截断。使用TLS时,管理员和Syslog服务器必须相互信任对方的证书。从管理器到Syslog服务器的连接使用TLS 1.2、1.1或1.0加密。
  • 事件格式:指定LEEF格式。LEEF格式要求您将“代理应转发日志”设置为“通过深度安全管理器”。
  • 在事件中包括时区:选择将完整日期(包括年份和时区)添加到事件。完整日期要求您将“代理应转发日志”设置为“通过深度安全管理器”。
    • 例子(选择):2018 - 09 - 14 - t01:02:17.123 +内。
    • 例(未选):Sep 14 01:02:17。
  • 设施:将与事件关联的流程类型
  • 代理应该转发日志:选择“通过深度安全管理器”(间接)发送事件。
  1. 点击应用

如果您选择TLS传输机制,请验证Deep Security Manager和Syslog服务器是否可以连接并信任彼此的证书。

  1. 点击测试连接.深度安全管理器将尝试解析主机名和连接。如果失败,就会出现错误消息。如果Syslog或SIEM服务器证书尚未受深度安全管理器信任,则连接失败,并弹出“接受服务器证书?”的信息应该出现。该消息显示Syslog服务器证书的内容。
  2. 检查Syslog服务器的证书是否正确,单击好吧接受它。该证书被添加到管理>系统设置>安全上的管理员信任证书列表中。深度安全管理器可以接受自签名证书。
  3. 点击测试连接一次。现在TLS连接应该成功了。

任务3:转发安全事件

现在已经建立了Syslog连接,可以选择要转发到InsightIDR的事件。

  1. 政策
  2. 双击计算机使用的策略。
  3. 选择设置然后是事件转发选项卡。
  4. 发送事件之间的周期,选择转发事件的频率。
  5. 反恶意软件Syslog配置和其他保护模块的下拉菜单,选择要使用的Syslog配置,单击编辑要更改它,请选择没有一个禁用或单击
  6. 点击保存

验证配置

  1. 从左边的菜单中,单击日志搜索查看原始日志,以确保事件被发送到收集器。趋势科技深度安全日志流入以下日志集:
    • 防火墙的活动
    • IDS警报
    • 进入认证
    • 病毒警报
    • 资产的身份验证
  2. 接下来,执行日志搜索确保深层安保活动顺利进行

示例日志:

         

          

           
          

         

          

           

            1

           < 134 > 2019 - 07 - 11 - t23:04:31内R7TEST99 LEEF: 2.0 Trend Micro | |深安全代理| 11.0.346 | 4000020 |猫=反恶意软件\ tname = TM_MALWARE_BEHAVIOR \ tdesc = TM_MALWARE_BEHAVIOR \ tsev = 6 \ tcn1 = 69979 \ \ tdvchost tcn1Label =主机ID = r7-remote-user.com \ tTrendMicroDsTenant =主\ tTrendMicroDsTenantId = 0 \ tfilePath = c: \ \ \ \程序文件\ \ \ \ notepad++ \ \ \ \ nppshell.dll \机智=终止\ tmsg =实时\ tTrendMicroDsMalwareTarget = C: \ \ \ \ WINDOWS \ \ \ \ system32系统\ \ \ \ regsvr32.exe \ \ tTrendMicroDsFileSHA1 = AWSFHIOWUEHFOQIUERHOGUEHOR65465R16V5E1R6 tTrendMicroDsMalwareTargetType =过程
          

          

           

            2

           
          

          

           

            3.

           < 134 > 2019 - 07 - 11 - t23:04:31内R7TEST99 LEEF: 2.0 Trend Micro | |深安全代理| 11.0.346 | 4000020 |猫=反恶意软件\ tname = TM_MALWARE_BEHAVIOR \ tdesc = TM_MALWARE_BEHAVIOR \ tsev = 6 \ tcn1 = 69979 \ \ tdvc tcn1Label =主机ID = r7-remote-user.com \ tTrendMicroDsTenant =主\ tTrendMicroDsTenantId = 0 \ tfilePath = c: \ \ \ \程序文件\ \ \ \ notepad++ \ \ \ \ nppshell.dll \机智=终止\ tmsg =实时\ tTrendMicroDsMalwareTarget = C: \ \ \ \ WINDOWS \ \ \ \ system32系统\ \ \ \ regsvr32.exe \ \ tTrendMicroDsFileSHA1 = AWSFHIOWUEHFOQIUERHOGUEHOR65465R16V5E1R6 tTrendMicroDsMalwareTargetType =过程
          

          

           

            4

           
          

          

           

            5

           <134>2019-07-11T23:04:31-04:00 R7TEST99 LEEF:2.0|Trend Micro|Deep Security Agent|11.0.346|4000020|cat=Anti-Malware\tname=TM_MALWARE_BEHAVIOR\tdesc=TM_MALWARE_BEHAVIOR\tsev=6\tcn1=69979\tcn1Label=Host ID\tTrendMicroDsTenant=Primary\tTrendMicroDsTenantId=0\tfilePath=c:\\\\program文件\ \ \ \ notepad++ \ \ \ \ nppshell.dll \机智=终止\ tmsg =实时\ tTrendMicroDsMalwareTarget = C: \ \ \ \ WINDOWS \ \ \ \ system32系统\ \ \ \ regsvr32.exe \ \ tTrendMicroDsFileSHA1 = AWSFHIOWUEHFOQIUERHOGUEHOR65465R16V5E1R6 tTrendMicroDsMalwareTargetType =过程
          

          

           

            6

           
          

          

           

            7

           488 <134>Oct 11 02:54:47 10.11.12.13 LEEF:2.0|Trend Micro|Deep Security Agent|12.0.342|138|cat=Firewall\tname=Packet on Closed Connection\tdesc=Packet on Closed Connection\tsev=5\tcn1=144\tcn1Label=HostID \ tdvc = 10.11.12.13 \ tTrendMicroDsTenant =主\ tTrendMicroDsTenantId = 0 \机智=否认\ tdstMAC = AA: BB: CC: DD: EE: FF \ tsrcMAC = AA: BB: CC: DD: EE: FF \ tTrendMicroDsFrameType = IP \ tsrc = 10.11.12.13 \ tdst锡= 0 = 10.11.12.13 \ \ tcs3 = DF 0 \ tcs3Label =分段位\ tproto = TCP \ tsrcPort = 36626 \ tdstPort = 80 \ tcs2 = SYN \ tcs2Label = TCP标志\野战= 5
          

          

           

            8

           
          

          

           

            9

           655 <134>Oct 11 07:17:22 10.11.12.13 LEEF:2.0|Trend Micro|Deep Security Agent|12.0.342|501|cat=入侵防御\tname=无效遍历\tdesc=无效遍历\tsev=5\tcn1=140\tcn1Label=HostID \ tdvc = 10.11.12.13 \ tTrendMicroDsTenant =主\ tTrendMicroDsTenantId = 0 \ tdstMAC = AA: BB: CC: DD: EE: FF \ tsrcMAC = AA: BB: CC: DD: EE: FF \ tTrendMicroDsFrameType = IP \ tsrc = 10.11.12.13 \ tdst = 10.11.12.13 \锡= 101 \ tcs3 = DF 0 \ tcs3Label =分段位\ tproto = TCP \ tsrcPort = 58596 \ tdstPort = 80 \ tcs2 = ACK PSH \ tcs2Label = TCP标志\野战= 1 \机智=复位\ tcn2 = -501 \ tcn2Label = DPIReason\tcn3=10\tcn3Label=DPI Packet Position\tcs5=10\tcs5Label=DPI Stream Position\ tcs1=\"uri-normalize\"\tcs1Label=DPI Note\tcs6=8\tcs6Label=DPI Flags
          

          

           

            10

           
          

          

           

            11

           < 134 > 2019 - 08 - 04 - t17:07:28内R7TEST99 LEEF: 2.0 Trend Micro | |深安全管理器| 11.0.346 | 600 |猫=系统\ tname =用户签署\ tdesc =用户签署10.11.12.13 \ tsev = 3 \ tsrc = 10.11.12.13 \ tusrName =系统\ ttarget = R7-FullAccess / r7employee@r7web.com \ tmsg =用户签署了从10.11.12.13 \ tTrendMicroDsTenant =主\ tTrendMicroDsTenantId = 0
          

          

           

            12

           
          

          

           

            13

           < 134 > 2019 - 08 - 04 - t17:07:28内R7TEST99 LEEF: 2.0 Trend Micro | |深安全管理器| 11.0.346 | 600 |猫=系统\ tname =用户签署\ tdesc =用户签署10.11.12.13 \ tsev = 3 \ tsrc = 10.11.12.13 \ tusrName =系统\ ttarget = R7-FullAccess / r7employee@r7web.com \ tmsg =用户签署了从10.11.12.13 \ tTrendMicroDsTenant =主\ tTrendMicroDsTenantId = 0
          

          

           

            14

           
          

          

           

            15

           < 134 > 2019 - 08 - 04 - t17:08:07内R7TEST99 LEEF: 2.0 Trend Micro | |深安全管理器| 11.0.346 | 601 |猫=系统\ tname =用户签署\ tdesc =描述省略\ tsev = 3 \ \ ttarget tsrc = 10.11.12.13 \ tusrName =系统= R7-FullAccess / r7employee@r7web.com \ tmsg =描述省略\ tTrendMicroDsTenant =主\ tTrendMicroDsTenantId = 0

解决常见问题

以下是一些常见的问题,您可能会设置事件转发从趋势科技深度安全,以及如何解决它们。

提示“发送Syslog消息失败”

如果您的Syslog配置有问题,您可能会看到以下警告:

"发送Syslog消息失败深度安全管理器无法将消息转发到Syslog服务器。无法将消息转发到Syslog服务器。

该警报还包含指向受影响的Syslog配置的链接。单击链接以打开配置,然后单击测试连接来获取更多的诊断信息。它将指示连接成功,或显示一个错误消息,其中包含有关原因的详细信息。

无法编辑Syslog配置

如果您可以看到Syslog配置,但不能编辑它们,则与您的帐户关联的角色可能没有适当的权限。能够配置角色的管理员可以通过进入admin >用户管理.然后选择你的名字并点击属性.在“其他权利”选项卡上,“Syslog配置”设置控制您编辑Syslog配置的能力。

由于服务器证书过期或更改,Syslog未发送

通过TLS安全地连接需要有效的证书。如果Syslog服务器的证书已经过期或变更,请打开Syslog配置,单击测试连接.系统提示您接受新证书。