Trend Micro OfficeScan

概述

TrendMicro Office扫描是一种安全和病毒扫描产品，可以进一步上下文化您的用户数据。

在你开始之前

TrendMicro OfficeScan无法在本机转发日志。但是，您可以通过日志聚合器、SIEM或日志转发器(如nxlog)将它们转发到insight tops。

免费的工具NXLOG.可以在TrendMicro服务器上读取OfficeScan日志，并将防病毒事件转发给InsightOps。您可以查看nxlog的更多信息这里．

配置nxlog以标准syslog格式转发日志NXLOG.页面。

一旦配置，新转发的日志可能类似于下面的日志:

          

           文本

            
           
          

           

            

             1
            \Platte_city\ File: C:\Users\jsmith\Desktop\New Text Document.txt日期/时间:4/6/2015 15:31:35结果:病毒成功检测，无法执行清除操作(隔离)
           

如何在Insigrops中配置此事件源

1. 从仪表板上，选择左手菜单上的Data Collection
2. 在页面右上方，选择“添加数据”
3. 从“安全数据”部分选择“病毒扫描”图标
4. 选择您的收藏家，并从选项列表中选择Trendmicro防毒墙网络版
5. 可选择选择发送未过滤的日志
6. 选择一个时区，或者选择一个美国时区
7. 配置任何高级事件源设置。
8. 选择“Listen for Syslog”，并输入端口。选择TCP作为您的协议，然后选中标题为“Encrypted”的框以发送安全Syslog。
9. 选择按钮“下载证书”，该按钮将下载Rapid7的证书。该文件称为Rapid7CA.pem并允许insights和TrendMicro在日志转发过程中“信任”对方。

高级事件源设置

回退域(s):如果您在多域环境中运行事件源，Rapid7建议使用后备域来解决用户帐户的任何问题。

例如，如果您的公司是美国和加拿大，但两个地点都有一个名为“John Smith”的用户，您的主要域名是company.com，你的备用域名可能是company.ca，这将允许InsightOps更准确地将数据归为正确的用户。