Ansichten:
Security Agents kann alle Verbindungen zwischen Endpunkten und Adressen in der globalen C&C-IP-Liste protokollieren und sperren. Sie können IP-Adressen protokollieren, die in der benutzerdefinierten Liste mit gesperrten IP-Adressen konfiguriert sind, aber dennoch den Zugriff auf diese IP-Adressen erlauben.
Security Agents kann außerdem Verbindungen überwachen, die das Ergebnis einer Botnet- oder sonstigen Malware-Bedrohung sind. Wenn eine Malware-Bedrohung erkannt wurde, kann Security Agents versuchen, die Infektion zu beseitigen.

Prozedur

  1. Navigieren Sie zu AgentsAgent-Verwaltung.
  2. Klicken Sie in der Agent-Hierarchie auf das Root-Domänen-Symbol (icon-root.jpg), um alle Agents einzuschließen oder nur bestimmte Domänen oder Agents auszuwählen.
  3. Klicken Sie auf EinstellungenVerdächtige Verbindungseinstellungen.
    Das Fenster Verdächtige Verbindungseinstellungen wird angezeigt.
  4. Aktivieren Sie die Einstellung Detect network connections made to addresses in the Global C&C IP list, um Verbindungen zu von Trend Micro bestätigten C&C-Servern zu überwachen, und wählen Sie, ob Verbindungen Nur protokollieren oder Sperren werden sollen.
    • Um Agenten die Verbindung zu Adressen in der Benutzerdefinierten Liste mit gesperrten IP-Adressen zu ermöglichen, aktivieren Sie die Einstellung Zugriff auf benutzerdefinierte Liste mit gesperrten IP-Adressen zulassen und protokollieren.
    Hinweis
    Hinweis
    Sie müssen die Protokollierung von Netzwerkverbindungen aktivieren, damit Security Agents den Zugriff auf Adressen in der benutzerdefinierten Liste mit gesperrten IP-Adressen zulassen kann.
    Weitere Informationen über die Globale C&C-IP-Liste finden Sie unter Verdächtiger Verbindungsdienst.
  5. Aktivieren Sie die Einstellung Erkennen von Verbindungen mithilfe des Fingerabdrucks für Netzwerk von Malware und wählen Sie, ob Sie Verbindungen Nur protokollieren oder Sperren möchten.
    Die Funktion "Malware-Fingerabdruck für Netzwerk" führt einen Pattern-Abgleich für Paket-Header durch. Security Agents protokollieren mit Hilfe des Patterns der Relevanzregel alle Verbindungen, die von Paketen mit Headern hergestellt werden, die mit bekannten Malware-Bedrohungen übereinstimmen.
    • Aktivieren Sie die Einstellung Verdächtige Verbindungen säubern, wenn ein C&C-Callback erkannt wird, damit Security Agents versuchen kann, Verbindungen zu C&C-Servern zu bereinigen. Security Agents verwenden GeneriClean, um die Malware-Bedrohung zu bereinigen und die Verbindung zum C&C-Server zu unterbrechen.
    Hinweis
    Hinweis
    Sie müssen Log connections using malware network fingerprinting aktivieren, damit Security Agents versuchen kann, die Verbindungen zu C&C-Servern zu säubern, die vom Paketstrukturabgleich erkannt wurden.
  6. Klicken Sie bei der Auswahl von Domäne(n) oder Agent(s) in der Agent-Hierarchie auf Speichern. Wenn Sie auf das Stammsymbol geklickt haben, können Sie aus folgenden Optionen auswählen:
    • Auf alle Agents anwenden: Wendet die Einstellungen auf alle vorhandenen Agents und auf solche Agents an, die neu zu einer vorhandenen/zukünftigen Domäne hinzukommen. Zukünftige Domänen sind Domänen, die bei der Konfiguration der Einstellungen noch nicht vorhanden waren.
    • Nur auf zukünftige Domänen anwenden: Wendet die Einstellungen nur auf Agents an, die zu zukünftigen Domänen hinzukommen. Bei dieser Option werden die Einstellungen nicht auf Agents angewendet, die neu zu einer vorhandenen Domäne hinzukommen.