Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=apex-central-overview

Visão geral da integração do Trend Micro Apex Central

Coletor de log Endpoint

Você pode integrar o Trend Micro Apex Central ao Sophos Central para que ele envie alertas à Sophos para análise.

Esta página lhe dá uma visão geral da integração.

Visão geral do produto Trend Micro Apex Central

A Sophos pode ingerir alarmes de uma ampla gama de produtos Trend Micro via Apex Central (por exemplo, alertas de endpoint Apex One). Para ver a lista completa de ferramentas Trend Micro acessíveis pelo Apex Central, consulte a documentação do Apex Central em seu site.

O Apex Central gerencia e administra as soluções de segurança, como proteção de endpoint e segurança móvel. Em um painel de gerenciamento centralizado, oferece visibilidade a eventos de segurança e aprimora as medidas de proteção com análise e inteligência de ameaças em tempo real.

Documentação da Sophos

Integrar o Trend Micro Apex Central

O que ingerimos

Exemplos de alertas vistos pela Sophos:

  • Data Loss Prevention
  • Update Status
  • Product Auditing Events
  • Advanced Threat Correlation Pattern
  • Early Launch Anti-Malware Pattern (64-bit)
  • Spyware/Grayware Pattern
  • Behavior Monitoring Policy Descriptions
  • Data Protection Application Pattern
  • Device Access Control
  • HTTP_HNAP1_RCE_EXPLOIT_NC_
  • Memory Scan Trigger Pattern (32-bit)
  • Web Reputation Endpoint Patch Pattern
  • HTTP_REMOTECODE_EXECUTION_REQUEST-2_NC_
  • HTTP_ZTE_F460_F660_RCE_EXPLOIT_NC_
  • HackTool.Win32.PortScan.SWO
  • Suspicious Files Engine: TCP anomaly detected

Filtragem

Permitimos apenas mensagens no formato CEF standard.

Amostra de mapeamentos de ameaças

Dependendo da classificação do alerta e dos campos que ele contém, usamos um dos seguintes modos para definir o alerta:

  • Se o alerta for do tipo web_security_cat, usamos o campo cat.
  • Se o campo cn1, cs1 ou cs2 estiver presente, usamos esses campos.

Caso contrário, usamos o padrão "def.name.

Exemplos de mapeamentos:

{"alertType": "Suspicious Files", "threatId": "TA0002", "threatName": "Execution"}
{"alertType": "Endpoint Sensor Trusted Pattern", "threatId": "T1518.001", "threatName": "Security Software Discovery"}
{"alertType": "Web Reputation Endpoint Patch Pattern", "threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "Device Access Control", "threatId": "TA0004", "threatName": "Privilege Escalation"}
{"alertType": "Web reputation", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Digital Signature Pattern", "threatId": "T1553.002", "threatName": "Code Signing"}
{"alertType": "Early Boot Clean Driver (64-bit)", "threatId": "T1037.005", "threatName": "Startup Items"}
{"alertType": "CnC Callback", "threatId": "TA0011", "threatName": "Command and Control"}
{"alertType": "Product Auditing Events","threatId": "T1016", "threatName": "System Network Configuration Discovery"}
{"alertType": "Global C&C IP List", "threatId": "TA0011", "threatName": "Command and Control"}
{"alertType": "IntelliTrap Pattern", "threatId": "TA0002", "threatName": "Execution"}
{"alertType": "IntelliTrap Exception Pattern", "threatId": "TA0002", "threatName": "Execution"}
{"alertType": "Policy Enforcement Pattern", "threatId": "T1484.001", "threatName": "Group Policy Modification"}

Documentação do fornecedor

SIEM solutions integration with Apex Central