Konfiguracja kryteriów przełamanie wywołania zwrotnego C&C oraz opcji powiadamiania Temat nadrzędny

Procedura

  1. Przejdź do pozycji PowiadomieniaPowiadomienia administratoraPowiadomienia o epidemiach.
  2. Na karcie Kryteria skonfiguruj następujące opcje:
    Opcja Opis
    Ten sam zaatakowany host
    Wybierz, aby zdefiniować przełamanie na podstawie liczby wykrytych wywołań zwrotnych dla punktu końcowego
    Źródło listy C&C
    Określ, czy należy uwzględnić wszystkie listy źródeł C&C, tylko listę Global Intelligence lub tylko listę Virtual Analyzer
    Poziom zagrożenia C&C
    Określ, czy należy wyzwolić przełamanie dla wszystkich wywołań zwrotnych C&C lub tylko dla źródeł o wysokim zagrożeniu
    Operacja
    Wybierz opcję Dowolne działanie, Zarejestrowano lub Zablokowano
    Przypadki wykrycia
    Wskaż wymaganą liczbę wykryć, która definiuje przełamanie
    Okres
    Wskaż liczbę godzin, w ciągu której musi wystąpić określona liczba wykryć
    Porada
    Porada
    Firma Trend Micro zaleca zaakceptowanie domyślnych wartości na tym ekranie.
  3. Na karcie E-mail:
    1. Przejdź do sekcji Wywołania zwrotne C&C.
    2. Wybierz opcję Włącz powiadamianie za pomocą wiadomości e-mail.
    3. Określ odbiorców wiadomości e-mail.
    4. Zaakceptuj lub zmień domyślny temat i wiadomość. Dane w polach Temat i Wiadomość można przedstawiać za pomocą znaczników.

      Zmienne znaczników dla powiadomień o przełamaniu wywołań zwrotnych C&C

      Zmienna
      Opis
      %C
      Liczba dzienników wywołań zwrotnych C&C
      %T
      Okres gromadzenia dzienników wywołań zwrotnych C&C
    5. Wybierz dodatkowe informacje o wywołaniu zwrotnym, które mają zostać dołączone do wiadomości e-mail.
  4. Na karcie Pułapka SNMP:
    1. Przejdź do sekcji Wywołania zwrotne C&C.
    2. Wybierz opcję Włącz powiadamianie przez pułapkę SNMP.
    3. Zaakceptuj lub zmień domyślną wiadomość. Dane w polu Wiadomość można przedstawiać za pomocą znaczników. Patrz Zmienne znaczników dla powiadomień o przełamaniu wywołań zwrotnych C&C aby uzyskać szczegółowe informacje.
  5. Na karcie Dziennik zdarzeń systemu Windows NT:
    1. Przejdź do sekcji Wywołania zwrotne C&C.
    2. Wybierz opcję Włącz powiadamianie przez rejestr zdarzeń NT.
    3. Zaakceptuj lub zmień domyślną wiadomość. Dane w polu Wiadomość można przedstawiać za pomocą znaczników. Patrz Zmienne znaczników dla powiadomień o przełamaniu wywołań zwrotnych C&C aby uzyskać szczegółowe informacje.
  6. Kliknij przycisk Zapisz.