Trend Micro OfficeScan

概述

TrendMicro Office扫描是一种安全和病毒扫描产品,可以进一步上下文化您的用户数据。

在你开始之前

TrendMicro OfficeScan无法在本机转发日志。但是,您可以通过日志聚合器、SIEM或日志转发器(如nxlog)将它们转发到insight tops。

免费的工具NXLOG.可以在TrendMicro服务器上读取OfficeScan日志,并将防病毒事件转发给InsightOps。您可以查看nxlog的更多信息这里

配置nxlog以标准syslog格式转发日志NXLOG.页面。

一旦配置,新转发的日志可能类似于下面的日志:

          
文本
1
\Platte_city\ File: C:\Users\jsmith\Desktop\New Text Document.txt日期/时间:4/6/2015 15:31:35结果:病毒成功检测,无法执行清除操作(隔离)

如何在Insigrops中配置此事件源

  1. 从仪表板上,选择左手菜单上的Data Collection
  2. 在页面右上方,选择“添加数据”
  3. 从“安全数据”部分选择“病毒扫描”图标
  4. 选择您的收藏家,并从选项列表中选择Trendmicro防毒墙网络版
  5. 可选择选择发送未过滤的日志
  6. 选择一个时区,或者选择一个美国时区
  7. 配置任何高级事件源设置。
  8. 选择“Listen for Syslog”,并输入端口。选择TCP作为您的协议,然后选中标题为“Encrypted”的框以发送安全Syslog。
  9. 选择按钮“下载证书”,该按钮将下载Rapid7的证书。该文件称为Rapid7CA.pem并允许insights和TrendMicro在日志转发过程中“信任”对方。

高级事件源设置

回退域(s):如果您在多域环境中运行事件源,Rapid7建议使用后备域来解决用户帐户的任何问题。

例如,如果您的公司是美国和加拿大,但两个地点都有一个名为“John Smith”的用户,您的主要域名是company.com,你的备用域名可能是company.ca,这将允许InsightOps更准确地将数据归为正确的用户。