Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

趋势 Micro Apex One

用于 JSA 的趋势微 Apex 1 DSM 使用 SNMPv2 接受事件。

Trend Micro Apex One 以前称为 Trend Micro OfficeScan。JSA 中的名称保持不变。

JSA 记录与病毒和间谍软件事件相关的事件。在 JSA 中配置趋势微设备之前,您必须将设备配置为转发 SNMPv2 事件。

JSA 有两种与趋势科技设备集成的选项。您选择的集成选项取决于您的设备版本:

与趋势 Micro Apex One 8.x 集成

您可以将趋势 Micro Apex One 8.x 设备与 JSA 集成。

  1. 登录 Apex One Administration 界面。

  2. 选择 通知

  3. 配置 SNMP 陷阱的常规设置:在 服务器 IP 地址 字段中,键入 JSA 的 IP 地址。

    注意:

    请勿更改社区陷阱信息。

  4. 单击 “保存”。

  5. 配置标准警报通知:选择 标准通知

  6. 单击 SNMP 陷阱 选项卡。

  7. 选中“ 通过 SNMP 陷阱检测病毒/恶意软件”启用通知 复选框。

  8. 在字段中键入以下消息(应为默认设置):

    Virus/Malware: %v Computer: %s Domain: %m File: %p Date/Time: %y Result: %a

  9. 选中“ 通过 SNMP 陷阱检测间谍软件/灰色软件检测”启用通知 复选框。

  10. 在字段中键入以下消息(应为默认设置):

    Spyware/Grayware: %v Computer: %s Domain: %m Date/Time: %y Result: %a

  11. 单击 “保存”。

  12. 配置爆发警报通知:选择 退出通知

  13. 单击 SNMP 陷阱 选项卡。

  14. 选中“ 通过 SNMP 陷阱阻止病毒/恶意软件爆发”启用通知 复选框。

  15. 在字段中键入以下消息(应为默认设置):

    Number of viruses/malware: %CV Number of computers: %CC Log Type Exceeded: %A Number of firewall violation logs: %C Number of shared folder sessions: %S Time Period: %T

  16. 选中“ 通过 SNMP 陷阱为间谍软件/灰色软件爆发启用通知 ”复选框。

  17. 在字段中键入以下消息(应为默认设置):

    Number of spyware/grayware: %CV Number of computers: %CC Log Type Exceeded: %A Number of firewall violation logs: %C Number of shared folder sessions: %S Time Period: %T

  18. 单击 “保存”。

与 Trend Micro Apex One 10.x 集成

JSA 配置为与 Trend Micro Apex One 10.x 设备集成之前,需要执行几个准备工作步骤。

您必须:

  1. 配置 Trend Micro Apex One 10.x 的 SNMP 设置。

  2. 配置标准通知。

  3. 配置爆发标准和警报通知。

在 Trend Micro Apex 1 中配置常规设置

您可以将趋势 Micro Apex One 10.x 设备与 JSA 集成。

  1. 登录 Apex One Administration 界面。

  2. 选择 通知>管理员通知>一般设置

  3. 配置 SNMP 陷阱的常规设置:在 服务器 IP 地址 字段中,键入 JSA 的 IP 地址。

  4. 键入趋势 Micro Apex One 设备的社区名称。

  5. 单击 “保存”。

现在,您必须为 Apex One 配置标准通知。

在 Trend Micro Apex 1 中配置标准通知

您可以配置标准通知。

  1. 选择 通知>管理员通知>标准通知

  2. 定义“标准”设置。单击 “标准 ”选项卡。

  3. 选择选项以在检测到病毒/恶意软件和间谍软件/灰色软件时提醒管理员,或者在针对这些安全风险的措施未成功时提醒管理员。

  4. 要启用通知:配置 SNMP Trap 选项卡。

  5. 选中“ 通过 SNMP 陷阱启用通知 ”复选框。

  6. 在字段中键入以下消息:

    Virus/Malware: %v Spyware/Grayware: %T Computer: %s IP address: %i Domain: %m File: %p Date/Time: %y Result: %a User name: %n

  7. 单击 “保存”。

您现在必须配置爆发通知。

在 Trend Micro Apex 1 中配置爆发标准和警报通知

您可以为趋势 Micro Apex One 设备配置爆发标准和警报通知。

  1. 选择 通知>管理员通知>故障通知

  2. 单击 “标准 ”选项卡。

  3. 键入每个安全风险的检测次数和检测周期。

    当标准超过指定的检测限制时,通知消息会发送给管理员。

    注意:

    趋势科技建议您在检测编号和检测期间使用默认值。

  4. 选择 “共享文件夹会话链接” 并启用 Apex One 以监控防火墙违规和共享文件夹会话。

    注意:

    要查看网络上使用共享文件夹或当前浏览共享文件夹的计算机,可以在界面中选择编号链接。

  5. 单击 SNMP 陷阱 选项卡。

    1. 选中“通过 SNMP 陷阱启用通知”复选框。

  6. 在字段中键入以下消息:

    Number of viruses/malware: %CV Number of computers: %CC Log Type Exceeded: %A Number of firewall violation logs: %C Number of shared folder sessions: %S Time Period: %T

  7. 单击 “保存”。

  8. 现在,您可以在 JSA 中配置日志源。

    要配置趋势微 Office 扫描设备,

    1. “日志源类型”列表中,选择“趋势科技 Office 扫描”选项。

    2. “协议配置”列表中,选择 SNMPv2 选项。

与 Trend Micro Apex One XG 集成

您可以将趋势 Micro Apex One XG 设备与 JSA 系统集成。

必须先配置以下各项,才能将 Trend Micro Apex One XG 设备与 JSA 系统集成:

  • 趋势微 Apex One XG 的 SNMP 设置

  • 管理员通知

  • 爆发通知

在 Trend Micro Apex One XG 中配置常规设置

您可以将趋势微 Apex One XG 设备与 JSA 集成。

  1. 登录 Apex One Administration 界面。

  2. 单击 “管理>说明”>“一般设置”。

  3. 配置 SNMP 陷阱的常规通知设置。

  4. 服务器 IP 地址 字段中,键入 JSA 控制台的 IP 地址。

  5. 键入趋势 Micro Apex One 设备的社区名称。

  6. 单击 “保存”。

您现在必须为 Apex One 配置管理员通知。

在 Trend Micro Apex One XG 中配置管理员通知

当趋势微 Apex One XG 检测到某些安全风险时,管理员会收到通知。将设备配置为通过 SNMP 陷阱发送通知。

  1. 单击 “管理>>管理员”。

  2. 单击 “标准 ”选项卡。

  3. 选择以下通知选项:

    • 病毒/恶意软件检测

    • 间谍软件/灰色软件检测

    • C&C 回叫

  4. 要启用通知,请配置 SNMP Trap 选项卡。

  5. 选中“ 通过 SNMP 陷阱启用通知 ”复选框。

  6. 在字段中键入以下消息:

    Virus/Malware: %v Spyware/Grayware: %T Computer: %s IP address: %i Domain: %m File: %p Date/Time: %y Result: %a User name: %n

    Spyware/Grayware: %v Endpoint: %s Domain: %m Date/Time: %y Result: %a

    Compromised Host: %CLIENTCOMPUTER% IP Address: %IP% Domain: %DOMAIN% Date/Time: %DATETIME% Callback address: %CALLBACKADDRESS% C&C risk level: %CNCRISKLEVEL% C&C list source: %CNCLISTSOURCE% Action: %ACTION%

  7. 单击 “保存”。

您现在必须配置爆发通知。

在 Trend Micro Apex One XG 中配置爆发通知

您可以配置趋势微 Apex 一个 XG 设备,以通知您安全风险爆发。按检测到的次数和检测周期定义爆发。

  1. 单击 “管理”>“>Outbreak”。

  2. 单击 “标准 ”选项卡。

  3. 键入每个安全风险的检测次数和检测周期。

    注意:

    当标准超过指定的检测限制时,通知消息会发送给管理员。
    提示:

    趋势科技建议您在检测编号和检测期间使用默认值。

  4. 要启用通知,请单击 SNMP 陷阱 选项卡,并选中 通过 SNMP 陷阱启用通知 复选框。

  5. 在字段中键入以下消息:

    Number of virus/malware: %CV Number of computers: %CC

    Number of spyware/grayware: %CV Number of endpoints: %CC

    C&C callback detected: Accumulated log count: %C in the last %T hour(s)

  6. 单击 “保存”。

更改 JSA 中的日期格式,以匹配趋势 Micro Apex One 设备的日期格式

如果您的趋势 Micro Apex One 设备使用 dd/MM/yyyy 日期格式,您可以使用 DSM 编辑器在 JSA 中启用此日期格式。

默认情况下,趋势微 Apex One DSM 使用 dd/MM/yyyy 日期格式。

  1. “管理员 ”选项卡 的“数据源 ”部分,单击 “DSM 编辑器”。

  2. “选择日志源 类型”窗口中,从日志源类型列表中选择 Trend Micro Office Scan

  3. 单击 配置 选项卡,然后将 显示 DSM 参数配置 设置为 on。

  4. 事件收集器 列表中选择日志源的事件收集器。

  5. 将“使用 dd/MM/yyyy 日期格式”设置为 on。

  6. 单击 “保存”。

在 JSA 7.3 中更改日期格式,以匹配趋势 Micro Apex One 设备的日期格式

如果您的趋势 Micro Apex One 设备使用 dd/MM/yyyy 日期格式,您可以使用命令行在 JSA 7.3 中启用此日期格式。

默认情况下,趋势微 Apex One DSM 使用 dd/MM/yyyy 日期格式。

  1. 使用 SSH,以 root 用户身份登录到您的 JSA 控制台。

  2. 要创建新的属性文件或编辑现有属性文件,请键入以下命令:

    vi /opt/qradar/conf/Officescan.properties

  3. 要启用 dd/MM/yyyy 日期格式,请向文本文件中添加以下行:

    useDDMMYYYYDateFormat=true

  4. 要禁用 dd/MM/yyy 日期格式,请在文本文件中添加以下行:

    useDDMMYYYYDateFormat=false

  5. 保存更改,然后退出终端。

  6. 重新启动事件收集服务。有关更多信息,请参阅 重新启动事件收集服务

使用 SNMPv2 协议在 JSA 中配置日志源。有关更多信息,请参阅 趋势 Micro Apex 1 的 SNMPv2 日志源参数

趋势微 Apex 1 的 SNMPv2 日志源参数

如果 JSA 未自动检测到日志源,请使用 SNMPv2 协议在 JSA 控制台上添加趋势微 Apex One 日志源。

使用 SNMPv2 协议时,您必须使用一些特定参数。

下表介绍了需要特定值才能从 Trend Micro Apex 1 收集 SNMPv2 事件的参数:

表 1:趋势微 Apex One DSM 的 SNMPv2 日志源参数

参数

价值

日志源类型

趋势微 Office 扫描

日志源说明

日志源的描述。

协议配置

SNMPv2

日志源标识符

日志源的 IP 地址或主机名可用作趋势 Micro Apex One 设备中的事件的标识符。

社区

访问包含 SNMP 事件的系统所需的 SNMP 社区名称。默认为“公共”。

在事件有效负载中包含 OID

如果选中,请清除“ 在事件有效负载中包含 OID ”复选框。

此选项允许使用名称-值对而不是标准事件有效负载格式来构造 SNMP 事件有效负载。在事件有效负载中包含 OID,才能从某些 DSM 处理 SNMPv2 或 SNMPv3 事件。