¿Cómo leer el registro de eventos de Trend Micro?

Puede encontrar los productos Trend Micro event log VIVOTEK. El registro de eventos de Trend Micro de cada producto de la serie se muestra a continuación:
Registros de eventos en cámaras VIVOTEK:

Registro de eventos en NVR basado en Linux:

Registro de eventos TrendMicro eb VAST2:

Estos son ejemplos de registros.

En una cámara:
16 de diciembre 00:58:58 [Trend Micro]: 1 s.1133810, 2019/12/16 0:58:58, 10.42.2.33:1775 > 192.168.40.78:80, 10.42.2.33, víctima
16 de diciembre 00 :58:58 [Trend Micro]: 2 s.1133810, 2019/12/16 0:58:58, 10.42.2.33:1829 > 192.168.40.78:80, 10.42.2.33, víctima
16 de diciembre 10:15:22 [ Trend Micro]: 3 s.1133810, 2019/12/16 10:15:22, 10.42.2.33:46527 > 192.168.40.78:80, 10.42.2.33, víctima
16 de diciembre 10:15:22 [Trend Micro]: 4 s.1133810, 2019/12/16 10:15:22, 10.42.2.33:46573 > 192.168.40.78:80, 10.42.2.33, Víctima
3 de octubre 19:01:11 [Trend Micro]: WRS, [78, -1, -1, -1], 13/10/2017 13:18:48, '206.130.113.68:80/ eicar.com ' de
octubre 03 19:01:11 60.251.25.44 [Trend Micro]: TRS, [28, -1, -1, -1], 2018/10/4 3:2:47, '201.39.159.204:445/'

En un NVR:
9953 2019-12-12T11:25:24.631862+08:00 Regla de seguridad [Trend Micro]: 3509 s.1133810, 2019/12/12 11:25:23, 192.192.25.221:58483 > 192.192.25.231:809, 2 .25.221, Víctima
9952 2019-12-12T11:25:24.630766+08:00 Regla de seguridad [Trend Micro]: 3508 s.1133810, 2019/12/12 11:25:23, 192.192.25.221:58483 > 192.1292.2 :110, 192.192.25.221, Víctima
9951 2019-12-12T11:25:24.629648+08:00 Regla de seguridad [Trend Micro]: 3507 s.1133810, 2019/12/12 11:25:23, 192.192.25.831:584 > 192.192.25.231:443, 192.192.25.221, Víctima
9950 2019-12-12T11:25:24.628503+08:00 Regla de seguridad [Trend Micro]: 3506 s.1133810, 2019/12/12 11:25:23, 192.192.25.221:58483 > 192.192.25.231:239, 2 .25.221, víctima

VAST2:

Tipo de evento

Evento de ataque de fuerza bruta:
un ataque de fuerza bruta es un método de prueba y error que se utiliza para iniciar sesión en la cámara u obtener información, como una contraseña de usuario. Cuando la cámara sufre un ataque de fuerza bruta, Trend Micro bloqueará este tipo de evento y lo enviará.

Evento de cuarentena:
si la cámara hubiera sido pirateada, podría convertirse en un atacante y enviar paquetes maliciosos para atacar otras IP. Trend Micro bloqueará este tipo de evento y enviará la notificación del evento. En este momento, el usuario deberá restaurar la configuración predeterminada de la cámara o actualizar el firmware de la cámara para evitar que la cámara sea pirateada nuevamente. El rol de Dispositivo de este tipo de evento en el registro es Atacante.

**Evento de ciberataque: **
Además del ataque de fuerza bruta y el evento de comportamiento anormal de la cámara, todos los demás ataques cibernéticos pertenecen a este tipo. Si encuentra este evento, proporcione la ID de la regla al soporte técnico de VIVOTEK, lo ayudaremos con los problemas.

Tipo de mensaje

Regla de seguridad:

Número de secuencia : el índice de este registro de seguridad.
Id. de regla: el motor TrendMicro capturó y comparó la regla de seguridad.
Hora: La hora del evento.
Peer IP: La dirección IP del host que está conectado con nuestro dispositivo.
Dirección: Identifica la dirección del paquete que cumple con esta política de reglas. NO debemos tomar esto como pistas de infección.
IP del dispositivo : la dirección IP de nuestro dispositivo.
IP del originador: la dirección IP que inicia esta conexión.
Función del dispositivo:

Atacante: Nuestro dispositivo inicia este evento.
Víctima: Alguien intenta atacarnos.
Bloqueo de IP: esta conexión está bloqueada por TrendMicro DPI Engine.

WRS

WRS, Trend Micro Web Reputation Service, es un servicio diseñado para proteger la cámara de la conexión a una posible IP/servidor malicioso.
Hora: La hora del evento.
Doman Peer: PortParth: Contenido de la consulta

TRS

TRS, también abreviatura de Trend Micro Web Reputation Service, por otro lado, es un servicio diseñado para proteger la cámara de ser conectada por una posible IP/servidor malicioso.
Hora: La hora del evento.
PeerIP:ServerPort: Contenido de la consulta

ID de regla

Descargue el ID de regla de Trend Micro desde aquí para obtener más detalles. Si el enlace no está disponible, verifique la última versión en: https://www.vivotek.com/cybersecurity