Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=apex-central-overview

Panoramica dell’integrazione Trend Micro Apex Central

Agente di raccolta log Endpoint

Trend Micro Apex Central può essere integrata con Sophos Central per consentire l’invio di dati a Sophos, a scopo di analisi.

Questa pagina fornisce una panoramica dell’integrazione.

Panoramica del prodotto Trend Micro Apex Central

Sophos è in grado di importare avvisi da un’ampia selezione di prodotti Trend Micro attraverso Apex Central (ad es. avvisi endpoint di Apex One). Per un elenco completo degli strumenti di Trend Micro che utilizzano Apex Central, leggi la documentazione pubblicata da Apex Central sul suo sito web.

Apex Central offre gestione e amministrazione di soluzioni di sicurezza come prodotti di protezione per endpoint e dispositivi mobili. Grazie alla sua console di gestione centralizzata, offre visibilità sugli eventi di sicurezza e rafforza le misure di protezione con dati di intelligence sulle minacce in tempo reale e potenti capacità di analisi.

Documenti Sophos

Integra Trend Micro Apex Central

I dati raccolti e inseriti

Esempi di avvisi visualizzati da Sophos:

  • Data Loss Prevention
  • Update Status
  • Product Auditing Events
  • Advanced Threat Correlation Pattern
  • Early Launch Anti-Malware Pattern (64-bit)
  • Spyware/Grayware Pattern
  • Behavior Monitoring Policy Descriptions
  • Data Protection Application Pattern
  • Device Access Control
  • HTTP_HNAP1_RCE_EXPLOIT_NC_
  • Memory Scan Trigger Pattern (32-bit)
  • Web Reputation Endpoint Patch Pattern
  • HTTP_REMOTECODE_EXECUTION_REQUEST-2_NC_
  • HTTP_ZTE_F460_F660_RCE_EXPLOIT_NC_
  • HackTool.Win32.PortScan.SWO
  • Suspicious Files Engine: TCP anomaly detected

Filtraggio

Vengono autorizzati solo i messaggi nel formato CEF standard.

Esempi di mapping delle minacce

A seconda della classificazione dell’avviso e dei campi che contiene, utilizziamo una delle seguenti opzioni per definire l’avviso:

  • Se l’avviso è di tipo web_security_cat, utilizziamo il campo cat.
  • Se il campo cn1, cs1, o cs2 è presente, utilizziamo quello.

In caso contrario, utilizziamo “def.name” per impostazione predefinita.

Mapping di esempio:

{"alertType": "Suspicious Files", "threatId": "TA0002", "threatName": "Execution"}
{"alertType": "Endpoint Sensor Trusted Pattern", "threatId": "T1518.001", "threatName": "Security Software Discovery"}
{"alertType": "Web Reputation Endpoint Patch Pattern", "threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "Device Access Control", "threatId": "TA0004", "threatName": "Privilege Escalation"}
{"alertType": "Web reputation", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Digital Signature Pattern", "threatId": "T1553.002", "threatName": "Code Signing"}
{"alertType": "Early Boot Clean Driver (64-bit)", "threatId": "T1037.005", "threatName": "Startup Items"}
{"alertType": "CnC Callback", "threatId": "TA0011", "threatName": "Command and Control"}
{"alertType": "Product Auditing Events","threatId": "T1016", "threatName": "System Network Configuration Discovery"}
{"alertType": "Global C&C IP List", "threatId": "TA0011", "threatName": "Command and Control"}
{"alertType": "IntelliTrap Pattern", "threatId": "TA0002", "threatName": "Execution"}
{"alertType": "IntelliTrap Exception Pattern", "threatId": "TA0002", "threatName": "Execution"}
{"alertType": "Policy Enforcement Pattern", "threatId": "T1484.001", "threatName": "Group Policy Modification"}

Documentazione del vendor

Integrazione di soluzioni SIEM con Apex Central