Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=apex-central-overview

Überblick über die Integration von Trend Micro Apex Central

Protokollsammler Endpoint

Sie können Trend Micro Apex Central in Sophos Central integrieren, sodass Alerts an Sophos zur Analyse gesendet werden.

Auf dieser Seite erhalten Sie einen Überblick über die Integration.

Produktübersicht zu Trend Micro Apex Central

Sophos kann Alerts aus einer Vielzahl von Trend-Micro-Produkten über Apex Central einlesen (zum Beispiel Endpoint-Alerts aus Apex One). Für eine vollständige Liste von Trend-Micro-Werkzeugen, die über Apex Central verfügbar sind, siehe die auf den Internetseiten von Apex Central bereitgestellte Liste.

APEX Central verwaltet Sicherheitslösungen wie Endpoint-Schutz und mobile Sicherheit. Mit einer zentralisierten Verwaltungskonsole erlaubt es Einblick in Sicherheitsereignisse und verbessert die Schutzmaßnahmen mit Echtzeit-Bedrohungsinformationen und -Analysen.

Sophos-Dokumente

Trend Micro Apex Central integrieren

Was wir erfassen

Beispiel für Warnmeldungen, die Sophos gesehen hat:

  • Data Loss Prevention
  • Update Status
  • Product Auditing Events
  • Advanced Threat Correlation Pattern
  • Early Launch Anti-Malware Pattern (64-bit)
  • Spyware/Grayware Pattern
  • Behavior Monitoring Policy Descriptions
  • Data Protection Application Pattern
  • Device Access Control
  • HTTP_HNAP1_RCE_EXPLOIT_NC_
  • Memory Scan Trigger Pattern (32-bit)
  • Web Reputation Endpoint Patch Pattern
  • HTTP_REMOTECODE_EXECUTION_REQUEST-2_NC_
  • HTTP_ZTE_F460_F660_RCE_EXPLOIT_NC_
  • HackTool.Win32.PortScan.SWO
  • Suspicious Files Engine: TCP anomaly detected

Filterung

Wir erlauben nur Nachrichten im CEF-Standardformat.

Beispiele für Bedrohungszuordnungen

Je nach Alert-Klassifizierung und den enthaltenen Feldern verwenden wir eine der folgenden Optionen, um den Alert zu definieren:

  • Wenn es sich bei dem Alert um den Typ web_security_cat handelt, verwenden wir das Feld cat.
  • Wenn das Feld cn1, cs1 oder cs2 vorhanden ist, verwenden wir dieses Feld.

Ansonsten verwenden wir standardmäßig def.name.

Beispielzuordnungen:

{"alertType": "Suspicious Files", "threatId": "TA0002", "threatName": "Execution"}
{"alertType": "Endpoint Sensor Trusted Pattern", "threatId": "T1518.001", "threatName": "Security Software Discovery"}
{"alertType": "Web Reputation Endpoint Patch Pattern", "threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "Device Access Control", "threatId": "TA0004", "threatName": "Privilege Escalation"}
{"alertType": "Web reputation", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Digital Signature Pattern", "threatId": "T1553.002", "threatName": "Code Signing"}
{"alertType": "Early Boot Clean Driver (64-bit)", "threatId": "T1037.005", "threatName": "Startup Items"}
{"alertType": "CnC Callback", "threatId": "TA0011", "threatName": "Command and Control"}
{"alertType": "Product Auditing Events","threatId": "T1016", "threatName": "System Network Configuration Discovery"}
{"alertType": "Global C&C IP List", "threatId": "TA0011", "threatName": "Command and Control"}
{"alertType": "IntelliTrap Pattern", "threatId": "TA0002", "threatName": "Execution"}
{"alertType": "IntelliTrap Exception Pattern", "threatId": "TA0002", "threatName": "Execution"}
{"alertType": "Policy Enforcement Pattern", "threatId": "T1484.001", "threatName": "Group Policy Modification"}

Herstellerdokumentation

Integration von SIEM-Lösungen in Apex Central