Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=apex-central-overview

Resumen de la integración de Trend Micro Apex Central

Recopilador de registros Endpoint

Puede integrar Trend Micro Apex Central con Sophos Central para que envíe alertas a Sophos para analizarlas.

Esta página presenta una visión general de la integración.

Resumen del producto Trend Micro Apex Central

Sophos puede ingerir alertas de una amplia gama de productos de Trend Micro a través de Apex Central (por ejemplo, alertas de endpoints de Apex One). Para obtener una lista completa de las herramientas de Trend Micro que pasan por Apex Central, consulte la documentación de Apex Central en su sitio web.

Apex Central gestiona y administra soluciones de seguridad como la protección de endpoints y de dispositivos móviles. Al ofrecer una consola de administración centralizada, aporta visibilidad a los eventos de seguridad y mejora las medidas de protección gracias a su información sobre amenazas y sus análisis en tiempo real.

Documentos de Sophos

Integrar Trend Micro Apex Central

Datos que ingerimos

Ejemplos de alertas vistas por Sophos:

  • Data Loss Prevention
  • Update Status
  • Product Auditing Events
  • Advanced Threat Correlation Pattern
  • Early Launch Anti-Malware Pattern (64-bit)
  • Spyware/Grayware Pattern
  • Behavior Monitoring Policy Descriptions
  • Data Protection Application Pattern
  • Device Access Control
  • HTTP_HNAP1_RCE_EXPLOIT_NC_
  • Memory Scan Trigger Pattern (32-bit)
  • Web Reputation Endpoint Patch Pattern
  • HTTP_REMOTECODE_EXECUTION_REQUEST-2_NC_
  • HTTP_ZTE_F460_F660_RCE_EXPLOIT_NC_
  • HackTool.Win32.PortScan.SWO
  • Suspicious Files Engine: TCP anomaly detected

Filtrado

Solo aceptamos mensajes en formato CEF estándar.

Muestra de asignaciones de amenazas

Dependiendo de la clasificación de la alerta y de los campos que contiene, utilizamos uno de los siguientes para definir la alerta:

  • Si la alerta es de tipo web_security_cat, utilizamos el campo cat.
  • Si está presente el campo cn1, cs1 o cs2, lo utilizamos.

De lo contrario, utilizamos "def.name.

Asignaciones de ejemplo:

{"alertType": "Suspicious Files", "threatId": "TA0002", "threatName": "Execution"}
{"alertType": "Endpoint Sensor Trusted Pattern", "threatId": "T1518.001", "threatName": "Security Software Discovery"}
{"alertType": "Web Reputation Endpoint Patch Pattern", "threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "Device Access Control", "threatId": "TA0004", "threatName": "Privilege Escalation"}
{"alertType": "Web reputation", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Digital Signature Pattern", "threatId": "T1553.002", "threatName": "Code Signing"}
{"alertType": "Early Boot Clean Driver (64-bit)", "threatId": "T1037.005", "threatName": "Startup Items"}
{"alertType": "CnC Callback", "threatId": "TA0011", "threatName": "Command and Control"}
{"alertType": "Product Auditing Events","threatId": "T1016", "threatName": "System Network Configuration Discovery"}
{"alertType": "Global C&C IP List", "threatId": "TA0011", "threatName": "Command and Control"}
{"alertType": "IntelliTrap Pattern", "threatId": "TA0002", "threatName": "Execution"}
{"alertType": "IntelliTrap Exception Pattern", "threatId": "TA0002", "threatName": "Execution"}
{"alertType": "Policy Enforcement Pattern", "threatId": "T1484.001", "threatName": "Group Policy Modification"}

Documentación del proveedor

Integración de soluciones de SIEM con Apex Central