Verdächtige Objekte konfigurieren Übergeordnetes Thema

Ein verdächtiges Objekt ist eine IP-Adresse, Domäne oder URL oder ein SHA-1-Wert in einer übermittelten Probe, die bzw. der als bösartig bekannt oder potenziell bösartig ist.
Smart Protection Server kann folgende Quellen abonnieren, um verdächtige Objekte zu synchronisieren:

Quellen verdächtiger Objekte für Smart Protection Server

Adresse
Typ des verdächtigen Objekts
Beschreibung
Deep Discovery Analyzer
  • Virtual Analyzer
URL
Virtual Analyzer ist eine Cloud-basierte, virtuelle Umgebung zur Analyse verdächtiger Dateien. Mithilfe so genannter Sandbox-Images kann das Verhalten von Dateien in einer Umgebung beobachtet werden, die die Endpunkte Ihres Netzwerks simuliert, ohne dass das Netzwerk gefährdet wird.
Virtual Analyzer in verwalteten Produkten verfolgt und analysiert übermittelte Proben. Virtual Analyzer kennzeichnet verdächtige Objekte auf der Grundlage ihres Potenzials zur Gefährdung oder Zerstörung Ihrer Systeme.
Control Manager
Konsolidierte verdächtige Objekte
  • Control Manager – benutzerdefinierte, verdächtige Objekte
  • Virtual Analyzer – verdächtige Objekte
URL
Deep Discovery Analyzer sendet eine Liste der verdächtigen Objekte an Control Manager.
Control Manager Administratoren können Objekte hinzufügen, die sie als verdächtig ansehen, sich aber derzeit nicht in der Liste der verdächtigen Objekte von Virtual Analyzer befinden. Benutzerdefinierte verdächtige Objekte haben eine höhere Priorität als verdächtige Objekte von Virtual Analyzer.
Control Manager konsolidiert verdächtige Objekte und dazugehörige Suchaktionen und verteilt sie an Smart Protection Server.
Sofern Abonnements bestehen, leitet der Smart Protection Server Folgendes weiter:
  • Informationen zu verdächtigen URLs an Trend Micro Produkte (z. B. OfficeScan Agents, ScanMail und Deep Security), die Web-Reputation-Abfragen senden
  • Aktionen gegen verdächtige URLs an OfficeScan Agents, die Web-Reputation-Abfragen senden
Hinweis
Hinweis
Weitere Informationen dazu, wie Control Manager verdächtige Objekte verwaltet, finden Sie wie folgt: http://docs.trendmicro.com/en-us/enterprise/control-manager-60-service-pack-3/whats_new_6sp3/suspicious_object_supported_products.aspx

Prozedur

  1. Navigieren Sie zu Smart Protection Verdächtige Objekte.
  2. Geben Sie den FQDN oder die IP-Adresse der Quelle der verdächtigen Objekte ein.
  3. Geben Sie den API-Schlüssel ein, den Sie von der Quelle für verdächtige Objekte erhalten haben.
  4. Optional: Klicken Sie auf Verbindung testen, um sicherzustellen, dass der Servername, die IP-Adresse und der API-Schlüssel gültig sind und dass die Quelle verfügbar ist.
  5. Klicken Sie auf Abonnieren.
  6. Um verdächtige Objekte sofort zu synchronisieren, wählen Sie Verdächtige Objekte synchronisieren und aktivieren und klicken Sie anschließend auf Jetzt synchronisieren.
    Hinweis
    Hinweis
    Die Option ist nur verfügbar, wenn die Verbindung von Smart Protection Server zu der Quelle erfolgreich hergestellt wurde.
  7. Klicken Sie auf Speichern.