C&C-Callback-Ausbruchskriterien und -Benachrichtigungen konfigurieren Übergeordnetes Thema

Prozedur

  1. Navigieren Sie zu BenachrichtigungenAdministrator - BenachrichtigungenAusbruchsbenachrichtigungen.
  2. Konfigurieren Sie auf der Registerkarte Kriterien die folgenden Optionen:
    Option Bezeichnung
    Gleicher infizierter Host
    Wählen Sie dies aus, um einen Ausbruch auf Grundlage der Callback-Erkennungen pro Endpunkt zu definieren.
    C&C-Listenquelle
    Geben Sie an, ob alle C&C-Quellenlisten, nur die Global Intelligence-Liste oder nur die Virtual Analyzer-Liste eingeschlossen werden soll(en).
    C&C-Risikostufe
    Geben Sie an, ob ein Ausbruch bei allen C&C-Callbacks oder nur bei Quellen mit hohem Risiko ausgelöst werden soll.
    Aktion
    Wählen Sie Jede Aktion, Protokolliert oder Gesperrt aus.
    Funde
    Geben Sie die für die Definition eines Ausbruchs erforderliche Anzahl von Erkennungen an.
    Zeitraum
    Geben Sie die Anzahl der Stunden an, innerhalb der die Anzahl der Erkennungen auftreten muss.
    Tipp
    Tipp
    Trend Micro empfiehlt, die Standardeinstellungen in diesem Fenster zu übernehmen.
  3. Auf der Registerkarte E-Mail:
    1. Navigieren Sie zum Abschnitt C&C-Callbacks.
    2. Wählen Sie Benachrichtigung über E-Mail aktivieren.
    3. Bestimmen Sie die Empfänger der E-Mail.
    4. Übernehmen oder ändern Sie die Standardbetreffzeile und -nachricht. Sie können Token-Variablen als Platzhalter für Daten in den Feldern Betreff und Nachricht verwenden.

      Token-Variablen für C&C-Callback-Ausbruchsbenachrichtigungen

      Variable
      Beschreibung
      %C
      Anzahl der C&C-Callback-Protokolle
      %T
      Zeitraum, in dem die C&C-Callback-Protokolle gesammelt wurden
    5. Wählen Sie aus, welche verfügbaren zusätzlichen C&C-Callback-Informationen in die E-Mail aufgenommen werden sollen.
  4. Auf der Registerkarte SNMP-Trap:
    1. Navigieren Sie zum Abschnitt C&C-Callbacks.
    2. Wählen Sie Benachrichtigung per SNMP-Trap aktivieren.
    3. Übernehmen Sie die Standardmeldung oder ändern Sie sie. Sie können Token-Variablen als Platzhalter für Daten im Feld Nachricht verwenden. Weitere Informationen finden Sie unter Token-Variablen für C&C-Callback-Ausbruchsbenachrichtigungen.
  5. Auf der Registerkarte NT-Ereignisprotokoll:
    1. Navigieren Sie zum Abschnitt C&C-Callbacks.
    2. Wählen Sie Benachrichtigung über NT-Ereignisprotokoll aktivieren.
    3. Übernehmen Sie die Standardmeldung oder ändern Sie sie. Sie können Token-Variablen als Platzhalter für Daten im Feld Nachricht verwenden. Weitere Informationen finden Sie unter Token-Variablen für C&C-Callback-Ausbruchsbenachrichtigungen.
  6. Klicken Sie auf Speichern.