为管理员配置 C&C 回调通知 父主题

防毒墙网络版附带有一组缺省通知消息,用于通知您和其他防毒墙网络版管理员 C&C 回调检测。您可以根据需要修改通知和配置其他通知设置。

过程

  1. 导航到通知管理员通知标准通知
  2. 条件选项卡上:
    1. 转至 C&C 回调部分。
    2. 指定是在防毒墙网络版检测到 C&C 回调(处理措施可以是阻止或记录)时发送通知,还是仅在回调地址的风险等级为“高”时才发送通知。
  3. 电子邮件选项卡上:
    1. 转至 C&C 回调部分。
    2. 选择启用电子邮件通知
    3. 选择向拥有客户端树域权限的用户发送通知
      使用基于角色的管理授予用户客户端树域权限。如果属于特定域的某个客户端上发生传输,则会向具有域权限的用户的电子邮件地址发送电子邮件。有关示例,请参阅下表:

      客户端树域和权限

      客户端树域
      具有域权限的角色
      具有该角色的用户帐户
      用户帐户的电子邮件地址
      域 A
      Administrator (内置)
      root
      mary@xyz.com
      Role_01
      admin_john
      john@xyz.com
      admin_chris
      chris@xyz.com
      域 B
      Administrator (内置)
      root
      mary@xyz.com
      Role_02
      admin_jane
      jane@xyz.com
      如果属于域 A 的防毒墙网络版客户端检测到 C&C 回调,则会向 mary@xyz.com、john@xyz.com 和 chris@xyz.com 发送电子邮件。
      如果属于域 B 的客户端检测到 C&C 回调,则会向 mary@xyz.com 和 jane@xyz.com 发送电子邮件。
      注意
      注意
      如果启用此选项,具有域权限的所有用户都必须具有相应的电子邮件地址。不会向没有电子邮件地址的用户发送电子邮件通知。用户和电子邮件地址是从管理 用户帐户进行配置的。
    4. 选择向以下电子邮件地址发送通知,然后键入电子邮件地址。
    5. 接受或修改缺省的主题和消息。使用令牌变量表示主题消息文本框中的数据。

      C&C 回调通知的令牌变量

      变量
      描述
      %CLIENTCOMPUTER%
      发送回调的目标计算机
      %IP%
      目标计算机的 IP 地址
      %DOMAIN%
      计算机的域
      %DATETIME%
      检测到传输的日期和时间
      %CALLBACKADDRESS%
      C&C 服务器的回调地址
      %CNCRISKLEVEL%
      C&C 服务器的风险等级
      %CNCLISTSOURCE%
      表示 C&C 源列表
      %ACTION%
      采取的措施
  4. SNMP Trap选项卡上:
    1. 转至 C&C 回调部分。
    2. 选择启用 SNMP 陷阱通知
    3. 接受或修改缺省消息。使用标记变量表示消息文本框中的数据。请参阅 C&C 回调通知的令牌变量 以了解详细信息。
  5. NT 事件日志选项卡上:
    1. 转至 C&C 回调部分。
    2. 选择启用 NT 事件日志通知
    3. 接受或修改缺省消息。可以使用标记变量表示消息文本框中的数据。请参阅 C&C 回调通知的令牌变量 以了解详细信息。
  6. 单击保存