Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Trend Micro Apex One

Trend Micro Apex One DSM para JSA acepta eventos mediante SNMPv2.

Trend Micro Apex One se conocía anteriormente como Trend Micro OfficeScan. El nombre sigue siendo el mismo en JSA.

JSA registra los eventos relevantes para los eventos de virus y spyware. Antes de configurar un dispositivo Trend Micro en JSA, debe configurar el dispositivo para reenviar eventos de SNMPv2.

JSA tiene dos opciones para integrar con un dispositivo Trend Micro. La opción de integración que elija depende de la versión de su dispositivo:

Integración con Trend Micro Apex One 8.x

Puede integrar un dispositivo Trend Micro Apex One 8.x con JSA.

  1. Inicie sesión en la interfaz de administración de Apex One.

  2. Seleccione Notificaciones.

  3. Configure la configuración general para capturas SNMP: en el campo Dirección IP del servidor, escriba la dirección IP de la JSA.

    Nota:

    No cambie la información de trampa de la comunidad.

  4. Haga clic en Guardar.

  5. Configurar la notificación de alerta estándar: seleccione Notificaciones estándar.

  6. Haga clic en la ficha Captura snmp .

  7. Active la casilla Habilitar notificación mediante captura SNMP para detecciones de virus/malware .

  8. Escriba el siguiente mensaje en el campo (este debería ser el valor predeterminado):

    Virus/Malware: %v Computer: %s Domain: %m File: %p Date/Time: %y Result: %a

  9. Active la casilla Habilitar notificación mediante captura SNMP para detecciones de spyware/grayware .

  10. Escriba el siguiente mensaje en el campo (este debería ser el valor predeterminado):

    Spyware/Grayware: %v Computer: %s Domain: %m Date/Time: %y Result: %a

  11. Haga clic en Guardar.

  12. Configurar notificaciones de alerta de brote: seleccione notificaciones fuera.

  13. Haga clic en la ficha Captura snmp .

  14. Active la casilla Habilitar notificación mediante captura SNMP para brotes de virus/malware .

  15. Escriba el siguiente mensaje en el campo (este debería ser el valor predeterminado):

    Number of viruses/malware: %CV Number of computers: %CC Log Type Exceeded: %A Number of firewall violation logs: %C Number of shared folder sessions: %S Time Period: %T

  16. Active la casilla Habilitar notificación mediante captura SNMP para brotes de spyware/Grayware .

  17. Escriba el siguiente mensaje en el campo (este debería ser el valor predeterminado):

    Number of spyware/grayware: %CV Number of computers: %CC Log Type Exceeded: %A Number of firewall violation logs: %C Number of shared folder sessions: %S Time Period: %T

  18. Haga clic en Guardar.

Integración con Trend Micro Apex One 10.x

Se necesitan varios pasos previos antes de configurar JSA para que se integre con un dispositivo Trend Micro Apex One 10.x.

Debe:

  1. Configure las opciones SNMP para Trend Micro Apex One 10.x.

  2. Configure notificaciones estándar.

  3. Configure los criterios de brote y las notificaciones de alerta.

Configuración de ajustes generales en Trend Micro Apex One

Puede integrar un dispositivo Trend Micro Apex One 10.x con JSA.

  1. Inicie sesión en la interfaz de administración de Apex One.

  2. Seleccione Notificaciones > Notificaciones de administrador > Configuración general.

  3. Configure la configuración general para capturas SNMP: en el campo Dirección IP del servidor, escriba la dirección IP de su JSA.

  4. Escriba un nombre de comunidad para su dispositivo Trend Micro Apex One.

  5. Haga clic en Guardar.

Ahora debe configurar las notificaciones estándar para Apex One.

Configurar notificaciones estándar en Trend Micro Apex One

Puede configurar notificaciones estándar.

  1. Seleccione Notificaciones > Notificaciones de administrador > Notificaciones estándar.

  2. Defina la configuración de criterios. Haga clic en la ficha Criterios .

  3. Seleccione la opción para alertar a los administradores sobre la detección de virus/malware y spyware/grayware, o cuando la acción ante estos riesgos de seguridad no es exitosa.

  4. Para habilitar las notificaciones: Configure la pestaña captura SNMP .

  5. Active la casilla Habilitar notificación mediante captura SNMP .

  6. Escriba el siguiente mensaje en el campo:

    Virus/Malware: %v Spyware/Grayware: %T Computer: %s IP address: %i Domain: %m File: %p Date/Time: %y Result: %a User name: %n

  7. Haga clic en Guardar.

Ahora debe configurar las notificaciones de brote.

Configurar criterios de brote y notificaciones de alerta en Trend Micro Apex One

Puede configurar criterios de brote y notificaciones de alerta para su dispositivo Trend Micro Apex One.

  1. Seleccione Notificaciones > Notificaciones de administrador > Notificaciones de ruptura.

  2. Haga clic en la ficha Criterios .

  3. Escriba el número de detecciones y el período de detección para cada riesgo de seguridad.

    Los mensajes de notificación se envían a un administrador cuando los criterios superan el límite de detección especificado.

    Nota:

    Trend Micro sugiere que utilice los valores predeterminados para el número de detección y el período de detección.

  4. Seleccione Vínculo de sesión de carpeta compartida y habilite Apex One para supervisar las violaciones del firewall y las sesiones de carpetas compartidas.

    Nota:

    Para ver equipos en la red con carpetas compartidas o equipos que actualmente navegan por carpetas compartidas, puede seleccionar el vínculo de número en la interfaz.

  5. Haga clic en la ficha Captura snmp .

    1. Active la casilla Habilitar notificación mediante captura SNMP.

  6. Escriba el siguiente mensaje en el campo:

    Number of viruses/malware: %CV Number of computers: %CC Log Type Exceeded: %A Number of firewall violation logs: %C Number of shared folder sessions: %S Time Period: %T

  7. Haga clic en Guardar.

  8. Ya está listo para configurar el origen de registro en JSA.

    Para configurar el dispositivo de análisis de Trend Micro Office:

    1. En la lista Tipo de origen de registro, seleccione la opción Análisis de Trend Micro Office.

    2. En la lista Configuración de protocolo, seleccione la opción SNMPv2.

Integración con Trend Micro Apex One XG

Puede integrar un dispositivo Trend Micro Apex One XG con el sistema JSA.

Antes de poder integrar un dispositivo Trend Micro Apex One XG con el sistema JSA, debe configurar los siguientes elementos:

  • Configuración SNMP para Trend Micro Apex One XG

  • Notificaciones de administrador

  • Notificaciones de brote

Configuración de ajustes generales en Trend Micro Apex One XG

Puede integrar un dispositivo Trend Micro Apex One XG con JSA.

  1. Inicie sesión en la interfaz de administración de Apex One.

  2. Haga clic en Administración >Notificaciones > Configuración general.

  3. Configure la configuración de notificación general para capturas SNMP.

  4. En el campo Dirección IP del servidor, escriba la dirección IP de la consola JSA.

  5. Escriba un nombre de comunidad para su dispositivo Trend Micro Apex One.

  6. Haga clic en Guardar.

Ahora debe configurar las notificaciones de administrador para Apex One.

Configuración de notificaciones de administrador en Trend Micro Apex One XG

Se puede notificar a los administradores cuando Trend Micro Apex One XG detecta ciertos riesgos de seguridad. Configure el dispositivo para que envíe notificaciones a través de la captura SNMP.

  1. Haga clic en Administración >Notificaciones >Administrador.

  2. Haga clic en la ficha Criterios .

  3. Seleccione las siguientes opciones para la notificación:

    • Detección de virus/malware

    • Detección de spyware/Grayware

    • Devoluciones de llamada de C&C

  4. Para habilitar las notificaciones, configure la pestaña captura SNMP .

  5. Active la casilla Habilitar notificación mediante captura SNMP .

  6. Escriba el siguiente mensaje en el campo:

    Virus/Malware: %v Spyware/Grayware: %T Computer: %s IP address: %i Domain: %m File: %p Date/Time: %y Result: %a User name: %n

    Spyware/Grayware: %v Endpoint: %s Domain: %m Date/Time: %y Result: %a

    Compromised Host: %CLIENTCOMPUTER% IP Address: %IP% Domain: %DOMAIN% Date/Time: %DATETIME% Callback address: %CALLBACKADDRESS% C&C risk level: %CNCRISKLEVEL% C&C list source: %CNCLISTSOURCE% Action: %ACTION%

  7. Haga clic en Guardar.

Ahora debe configurar las notificaciones de brote.

Configurar notificaciones de brote en Trend Micro Apex One XG

Puede configurar su dispositivo Trend Micro Apex One XG para notificarle de brotes de riesgo de seguridad. Defina un brote por el número de detecciones y el período de detección.

  1. Haga clic en Administración >Notificaciones > Ruptura.

  2. Haga clic en la ficha Criterios .

  3. Escriba el número de detecciones y el período de detección para cada riesgo de seguridad.

    Nota:

    Los mensajes de notificación se envían a un administrador cuando los criterios superan el límite de detección especificado.
    Propina:

    Trend Micro sugiere que utilice los valores predeterminados para el número de detección y el período de detección.

  4. Para habilitar las notificaciones, haga clic en la ficha Captura SNMP y active la casilla Habilitar notificación mediante captura SNMP .

  5. Escriba el siguiente mensaje en el campo:

    Number of virus/malware: %CV Number of computers: %CC

    Number of spyware/grayware: %CV Number of endpoints: %CC

    C&C callback detected: Accumulated log count: %C in the last %T hour(s)

  6. Haga clic en Guardar.

Cambiar el formato de fecha en JSA para que coincida con el formato de fecha para su dispositivo Trend Micro Apex One

Si su dispositivo Trend Micro Apex One utiliza el formato de fecha dd/MM/aaaa, puede habilitar este formato de fecha en JSA mediante el Editor de DSM.

De forma predeterminada, Trend Micro Apex One DSM usa el formato de fecha dd/MM/aaaa.

  1. En la pestaña Administrador , en la sección Fuentes de datos , haga clic en Editor de DSM.

  2. En la ventana Seleccionar tipo de fuente de registro , seleccione Análisis de Trend Micro Office en la lista de tipos de origen de registro.

  3. Haga clic en la ficha Configuración y, a continuación, establezca Mostrar configuración de parámetros de DSM para activar.

  4. En la lista Recopilador de eventos, seleccione el recopilador de eventos para el origen del registro.

  5. Establezca use el formato de fecha dd/MM/aaaa en activado.

  6. Haga clic en Guardar.

Cambiar el formato de fecha en JSA 7.3 para que coincida con el formato de fecha para su dispositivo Trend Micro Apex One

Si el dispositivo Trend Micro Apex One usa el formato de fecha dd/MM/aaaa, puede habilitar este formato de fecha en JSA 7.3 mediante la línea de comandos.

De forma predeterminada, Trend Micro Apex One DSM usa el formato de fecha dd/MM/aaaa.

  1. Con SSH, inicie sesión en la consola JSA como usuario raíz.

  2. Para crear un nuevo archivo de propiedades o editar un archivo de propiedades existente, escriba el siguiente comando:

    vi /opt/qradar/conf/Officescan.properties

  3. Para habilitar el formato de fecha dd/MM/aaaa, agregue la siguiente línea en el archivo de texto:

    useDDMMYYYYDateFormat=true

  4. Para deshabilitar el formato de fecha dd/MM/aaaa, agregue la siguiente línea en el archivo de texto:

    useDDMMYYYYDateFormat=false

  5. Guarda los cambios y, luego, salga del terminal.

  6. Reinicie el servicio de recopilación de eventos. Para obtener más información, consulte Reiniciar el servicio de recopilación de eventos.

Configure un origen de registro en JSA mediante el protocolo SNMPv2. Para obtener más información, consulte Parámetros de origen de registro SNMPv2 para Trend Micro Apex One.

Parámetros de origen de registro SNMPv2 para Trend Micro Apex One

Si JSA no detecta automáticamente el origen del registro, agregue un origen de registro de Trend Micro Apex One en la consola JSA mediante el protocolo SNMPv2.

Cuando se usa el protocolo SNMPv2, hay parámetros específicos que debe usar.

En la tabla siguiente se describen los parámetros que requieren valores específicos para recopilar eventos SNMPv2 desde Trend Micro Apex One:

Tabla 1: Parámetros de origen de registro SNMPv2 para Trend Micro Apex One DSM

Parámetro

Valor

Tipo de fuente de registro

Análisis de la oficina de Trend Micro

Descripción del origen del registro

Una descripción para el origen del registro.

Configuración de protocolo

SNMPv2

Identificador de origen de registro

La dirección IP o el nombre de host del origen del registro se pueden usar como identificador de eventos desde el dispositivo Trend Micro Apex One.

Comunidad

El nombre de comunidad SNMP necesario para tener acceso al sistema que contiene eventos SNMP. El valor predeterminado es Público.

Incluir OIDs en la carga de eventos

Si está activada, desactive la casilla de verificación Incluir ID en carga de eventos .

Esta opción permite que la carga de eventos SNMP se construya mediante el uso de pares nombre-valor en lugar del formato de carga de eventos estándar. Incluir OIDs en la carga de caso es necesario para procesar eventos SNMPv2 o SNMPv3 desde ciertos DSM.