Aller au contenu
Découvrez comment nous prenons en charge MDR.

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=apex-central-overview

Présentation de l'intégration de Trend Micro Apex Central

Outil de collecte des journaux Endpoint

Vous pouvez intégrer Trend Micro Apex Central à Sophos Central afin de lui permettre d’envoyer des données à Sophos pour analyse.

Cette page vous donne une vue générale de l’intégration.

Présentation du produit Trend Micro Apex Central

Sophos peut ingérer des alertes provenant d’une large gamme de produits Trend Micro via Apex Central (par exemple, les alertes de terminal Apex One). Pour obtenir une liste complète des outils Trend Micro qui passent par Apex Central, consultez la documentation fournie par Apex Central sur leur site Web.

Apex Central gère et administre des solutions de sécurité telles que Endpoint Protection et la sécurité des appareils mobiles. Offrant une console de gestion centralisée, il apporte une visibilité sur les événements de sécurité et améliore les mesures de protection grâce à la collecte de renseignements sur les menaces et ses analyses en temps réel.

Documents Sophos

Intégrer Trend Micro Apex Central

Ce que nous ingérons

Exemples d’alertes vues par Sophos :

  • Data Loss Prevention
  • Update Status
  • Product Auditing Events
  • Advanced Threat Correlation Pattern
  • Early Launch Anti-Malware Pattern (64-bit)
  • Spyware/Grayware Pattern
  • Behavior Monitoring Policy Descriptions
  • Data Protection Application Pattern
  • Device Access Control
  • HTTP_HNAP1_RCE_EXPLOIT_NC_
  • Memory Scan Trigger Pattern (32-bit)
  • Web Reputation Endpoint Patch Pattern
  • HTTP_REMOTECODE_EXECUTION_REQUEST-2_NC_
  • HTTP_ZTE_F460_F660_RCE_EXPLOIT_NC_
  • HackTool.Win32.PortScan.SWO
  • Suspicious Files Engine: TCP anomaly detected

Filtrage

Nous autorisons uniquement les messages au bon format.

Exemples de mappages de menaces

En fonction de la classification de l'alerte et des champs qu'elle contient, nous utilisons l'un des éléments suivants pour définir l'alerte :

  • Si l'alerte est de type web_security_cat nous utilisons le champ cat.
  • Si le champ cn1, cs1, ou cs2 existe, nous utilisons celui-ci.

Autrement, nous revenons par défaut au def.name.

Exemples de mappages :

{"alertType": "Suspicious Files", "threatId": "TA0002", "threatName": "Execution"}
{"alertType": "Endpoint Sensor Trusted Pattern", "threatId": "T1518.001", "threatName": "Security Software Discovery"}
{"alertType": "Web Reputation Endpoint Patch Pattern", "threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "Device Access Control", "threatId": "TA0004", "threatName": "Privilege Escalation"}
{"alertType": "Web reputation", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Digital Signature Pattern", "threatId": "T1553.002", "threatName": "Code Signing"}
{"alertType": "Early Boot Clean Driver (64-bit)", "threatId": "T1037.005", "threatName": "Startup Items"}
{"alertType": "CnC Callback", "threatId": "TA0011", "threatName": "Command and Control"}
{"alertType": "Product Auditing Events","threatId": "T1016", "threatName": "System Network Configuration Discovery"}
{"alertType": "Global C&C IP List", "threatId": "TA0011", "threatName": "Command and Control"}
{"alertType": "IntelliTrap Pattern", "threatId": "TA0002", "threatName": "Execution"}
{"alertType": "IntelliTrap Exception Pattern", "threatId": "TA0002", "threatName": "Execution"}
{"alertType": "Policy Enforcement Pattern", "threatId": "T1484.001", "threatName": "Group Policy Modification"}

Documentation fournisseur

Intégration des solutions SIEM avec Apex Central