Objetivo
Integrar Apex One con tu SIEM (Wazuh/Elastic/Splunk/QRadar) vía Syslog/CEF para correlación centralizada.
Prerrequisitos
- SIEM con puerto syslog (UDP 514 o TCP 514/6514 con TLS) abierto.
- IP/DNS del colector.
Pasos
- En la consola de gestión (Apex Central / AOne SaaS):
- Administration → Log Settings / SIEM Integration → habilitar Syslog/CEF.
- Configurar Destino: IP colector, puerto, protocolo (recomiendo TCP/TLS).
- Seleccionar tipos de eventos: malware detections, behavior monitoring, web reputation, policy changes, agent status.
- Formato y severidades:
- Usar CEF si tu SIEM lo parsea nativamente.
- Mapear severidades (High/Critical → SIEM sev 8-10).
- Pruebas:
- Generar evento EICAR o una “test notification”.
- Verificar arribo de mensajes en el colector (ej.
tcpdump/ngrep) y en el SIEM.
- Normalización en SIEM:
- Crear/usar parser para CEF de Trend Micro.
- Campos clave:
deviceProduct,severity,cs1(label=Policy),cs2(label=Action),src,dst,fileHash,filePath.
- Correlación útil (ejemplos):
- Hash visto en múltiples hosts en < 24 h.
- Bloqueo web reputation + proceso iniciador sospechoso.
- Agente con múltiples bloqueos + servicio detenido (health check).
Buenas prácticas
- TLS en syslog y rotación de certificados.
- Limitar tipos de logs para evitar ruido; ajustar rate-limit si el SIEM se satura.
- Documentar mapeos de severidad y taxonomía MITRE para reportes.