Trend Micro OfficeScan
概述
TrendMicro Office扫描是一种安全和病毒扫描产品,可以进一步上下文化您的用户数据。
在你开始之前
TrendMicro OfficeScan无法在本机转发日志。但是,您可以通过日志聚合器、SIEM或日志转发器(如nxlog)将它们转发到insight tops。
免费的工具NXLOG.可以在TrendMicro服务器上读取OfficeScan日志,并将防病毒事件转发给InsightOps。您可以查看nxlog的更多信息这里.
配置nxlog以标准syslog格式转发日志NXLOG.页面。
一旦配置,新转发的日志可能类似于下面的日志:
文本
1\Platte_city\ File: C:\Users\jsmith\Desktop\New Text Document.txt日期/时间:4/6/2015 15:31:35结果:病毒成功检测,无法执行清除操作(隔离)
如何在Insigrops中配置此事件源
- 从仪表板上,选择左手菜单上的Data Collection
- 在页面右上方,选择“添加数据”
- 从“安全数据”部分选择“病毒扫描”图标
- 选择您的收藏家,并从选项列表中选择Trendmicro防毒墙网络版
- 可选择选择发送未过滤的日志
- 选择一个时区,或者选择一个美国时区
- 配置任何高级事件源设置。
- 选择“Listen for Syslog”,并输入端口。选择TCP作为您的协议,然后选中标题为“Encrypted”的框以发送安全Syslog。
- 选择按钮“下载证书”,该按钮将下载Rapid7的证书。该文件称为
Rapid7CA.pem
并允许insights和TrendMicro在日志转发过程中“信任”对方。
高级事件源设置
回退域(s):如果您在多域环境中运行事件源,Rapid7建议使用后备域来解决用户帐户的任何问题。
例如,如果您的公司是美国和加拿大,但两个地点都有一个名为“John Smith”的用户,您的主要域名是company.com
,你的备用域名可能是company.ca
,这将允许InsightOps更准确地将数据归为正确的用户。
这个页面对你有帮助吗?