Konfigurowanie powiadomień o wywołaniach zwrotnych C&C dla administratorów Temat nadrzędny

Program OfficeScan zawiera domyślne powiadomienia informujące administratorów OfficeScan o wykryciu wywołań zwrotnych C&C. Można zmodyfikować powiadomienia i skonfigurować dodatkowe ustawienia powiadamiania zgodnie z potrzebami.

Procedura

  1. Przejdź do pozycji PowiadomieniaPowiadomienia administratoraStandardowe powiadomienia.
  2. Na karcie Kryteria:
    1. Przejdź do sekcji Wywołania zwrotne C&C.
    2. Określ, czy powiadomienia mają być wysyłane po wykryciu wywołania zwrotnego C&C przez program OfficeScan (działanie może być dozwolone albo rejestrowane) lub tylko w przypadku, gdy poziom zagrożenia adresu wywołania zwrotnego jest wysoki.
  3. Na karcie Poczta elektroniczna:
    1. Przejdź do sekcji Wywołania zwrotne C&C.
    2. Wybierz opcję Włącz powiadamianie za pomocą wiadomości e-mail.
    3. Wybierz opcję Wyślij powiadomienia do użytkowników z uprawnieniami do domeny drzewa klientów.
      Funkcja Role-based Administration umożliwia przyznanie użytkownikom uprawnień do domeny drzewa klientów. Jeżeli transmisja wystąpi na kliencie należącym do określonej domeny, na adresy e-mail użytkowników z uprawnieniami do domeny zostaną wysłane wiadomości. Przykłady znajdują się w poniższej tabeli:

      Domeny w drzewie klientów i uprawnienia

      Domena w drzewie klientów
      Role z uprawnieniami do domeny
      Konto użytkownika z rolą
      Adres e-mail dla konta użytkownika
      Domena A
      Administrator (wbudowany)
      root
      mary@xyz.com
      Rola_01
      admin_john
      john@xyz.com
      admin_chris
      chris@xyz.com
      Domena B
      Administrator (wbudowany)
      root
      mary@xyz.com
      Rola_02
      admin_jane
      jane@xyz.com
      Jeśli klient OfficeScan należący do Domeny A wykryje wywołanie zwrotne C&C, wiadomość e-mail zostanie wysłana na adresy mary@xyz.com, john@xyz.com i chris@xyz.com.
      Jeśli wywołanie zwrotne C&C wykryje klient należący do Domeny B, wiadomość e-mail zostanie wysłana na adresy mary@xyz.com i jane@xyz.com.
      Uwaga
      Uwaga
      Po włączeniu tej opcji, wszyscy użytkownicy z uprawnieniami do domeny muszą mieć odpowiedni adres e-mail. Powiadomienie e-mail nie zostanie wysłane do użytkowników bez adresu e-mail. Użytkowników i adresy e-mail można skonfigurować na ekranie Administracja Konta użytkowników.
    4. Wybierz opcję Wysyłaj powiadomienia na następujące adresy e-mail i wpisz adresy e-mail.
    5. Zaakceptuj lub zmień domyślny temat i wiadomość. Do przedstawienia danych w polach Temat i Wiadomość.

      Zmienne znaczników dla powiadomień o wywołaniach zwrotnych C&C

      Zmienna
      Opis
      %CLIENTCOMPUTER%
      Komputer docelowy, który wysłał wywołanie zwrotne
      %IP%
      Adres IP komputera będącego celem
      %DOMAIN%
      Domena komputera
      %DATETIME%
      Data i godzina wykrycia transmisji
      %CALLBACKADDRESS%
      Adres wywołania zwrotnego serwera C&C
      %CNCRISKLEVEL%
      Poziom zagrożenia serwera C&C
      %CNCLISTSOURCE%
      Wskazuje źródło listy C&C
      %ACTION%
      Wykonana operacja
  4. Na karcie Pułapka SNMP:
    1. Przejdź do sekcji Wywołania zwrotne C&C.
    2. Wybierz opcję Włącz powiadamianie przez pułapkę SNMP.
    3. Zaakceptuj lub zmień domyślną wiadomość. Do przedstawienia danych w polu Wiadomość. Patrz Zmienne znaczników dla powiadomień o wywołaniach zwrotnych C&C aby uzyskać szczegółowe informacje.
  5. Na karcie Dziennik zdarzeń Windows NT:
    1. Przejdź do sekcji Wywołania zwrotne C&C.
    2. Wybierz opcję Włącz powiadamianie przez rejestr zdarzeń NT.
    3. Zaakceptuj lub zmień domyślną wiadomość. Dane w polu Wiadomość można przedstawiać za pomocą znaczników. Patrz Zmienne znaczników dla powiadomień o wywołaniach zwrotnych C&C aby uzyskać szczegółowe informacje.
  6. Kliknij przycisk Zapisz.