Ansichten:
Security Agents kann alle Verbindungen zwischen Endpunkten und Adressen in der globalen C&C-IP-Liste protokollieren und sperren. Sie können IP-Adressen protokollieren, die in der benutzerdefinierten Liste mit gesperrten IP-Adressen konfiguriert sind, aber dennoch den Zugriff auf diese IP-Adressen erlauben.
Security Agents kann außerdem Verbindungen überwachen, die das Ergebnis einer Botnet- oder sonstigen Malware-Bedrohung sind. Wenn eine Malware-Bedrohung erkannt wurde, kann Security Agents versuchen, die Infektion zu beseitigen.

Prozedur

  1. Aktivieren Sie die Einstellung Detect network connections made to addresses in the Global C&C IP list, um Verbindungen zu von Trend Micro bestätigten C&C-Servern zu überwachen, und wählen Sie, ob Verbindungen Nur protokollieren oder Sperren werden sollen.
    • Um Agenten die Verbindung zu Adressen in der Benutzerdefinierten Liste mit gesperrten IP-Adressen zu ermöglichen, aktivieren Sie die Einstellung Zugriff auf benutzerdefinierte Liste mit gesperrten IP-Adressen zulassen und protokollieren.
    Hinweis
    Hinweis
    Sie müssen die Protokollierung von Netzwerkverbindungen aktivieren, damit Security Agents den Zugriff auf Adressen in der benutzerdefinierten Liste mit gesperrten IP-Adressen zulassen kann.
  2. Wählen Sie Erkennen von Verbindungen mithilfe des Fingerabdrucks für Netzwerk von Malware, um die Funktion zu aktivieren.
  3. Konfigurieren Sie die Überwachungsstufe-Einstellungen für Erkennung und Prävention.
    Wichtig
    Wichtig
    • Höhere Überwachungsstufen bieten eine größere Sensibilität, können jedoch eine große Anzahl nicht wesentlicher Protokolle erzeugen und die Leistung des Endpunkts beeinträchtigen. Trend Micro empfiehlt, 2 - Mäßig auszuwählen, um relevantere Daten mit minimalen Auswirkungen auf Ihre Endpunkte zu erhalten.
    • Die Prävention-Stufe muss gleich oder niedriger als Erkennung sein.
    • Die Auswahl von Bedrohungen zum Sperren kann die Präventionsmaßnahmen für das ausgewählte Präventionsniveau beeinflussen.
  4. Wählen Sie den Zu ergreifende Maßnahmen aus.
    • Nur protokollieren: Ereignis protokollieren und keine Aktion ausführen.
    • Sperren: Die Verbindung sperren.
  5. Um Security Agents zu ermöglichen, Verbindungen zu C&C-Servern zu bereinigen, aktivieren Sie die Einstellung Verdächtige Verbindungen säubern, wenn ein C&C-Callback erkannt wird.
    Security Agents verwenden Sie GeneriClean, um die Malware-Bedrohung zu bereinigen und die Verbindung zum C&C-Server zu beenden.
    Wichtig
    Wichtig
    Sie müssen Log connections using malware network fingerprinting aktivieren, damit Security Agents versuchen kann, die Verbindungen zu C&C-Servern zu säubern, die vom Paketstrukturabgleich erkannt wurden.