Ansichten:

Prozedur

  1. Navigieren Sie zu AdministrationBenachrichtigungenAdministrator.
  2. Auf der Registerkarte Kriterien:
    1. Navigieren Sie zum Abschnitt C&C-Callbacks.
    2. Geben Sie an, ob Benachrichtigungen beim Entdecken eines C&C-Callbacks durch Trend Micro Apex One (die Aktion kann unterdrückt oder protokolliert werden) oder nur bei einer hohen Risikostufe der Callback-Adresse gesendet werden sollen.
  3. Auf der Registerkarte E-Mail:
    1. Navigieren Sie zum Abschnitt C&C-Callbacks.
    2. Wählen Sie Benachrichtigung über E-Mail aktivieren.
    3. Wählen Sie Benachrichtigungen an Benutzer mit Agent-Hierarchie-Domänenberechtigungen senden.
      Mit der rollenbasierten Administration können Sie Benutzern Agent-Hierarchie-Domänenberechtigungen gewähren. Wenn eine Übertragung auf einem Agent stattfindet, der zu einer bestimmten Domäne gehört, werden die E-Mails an die E-Mail-Adressen der Benutzer mit Domänenberechtigungen gesendet. Beispiele dafür sehen Sie in der folgenden Tabelle:

      Agent-Hierarchiedomänen und Berechtigungen

      Agent-Hierarchiedomäne
      Rollen mit Domänenberechtigungen
      Benutzerkonto mit dieser Rolle
      E-Mail-Adresse für das Benutzerkonto
      Domäne A
      Administrator (integriert)
      root
      mary@xyz.com
      Role_01
      admin_john
      john@xyz.com
      admin_chris
      chris@xyz.com
      Domäne B
      Administrator (integriert)
      root
      mary@xyz.com
      Role_02
      admin_jane
      jane@xyz.com
      Entdeckt ein Security Agent, der zur Domäne A gehört, einen C&C-Callback, wird die E-Mail an mary@xyz.com, john@xyz.com und chris@xyz.com gesendet.
      Entdeckt ein Security Agent, der zur Domäne B gehört, den C&C-Callback, wird die E-Mail an mary@xyz.com und jane@xyz.com versendet.
      Hinweis
      Hinweis
      Wenn Sie die Option aktivieren, benötigen alle Benutzer mit Domänenberechtigung eine entsprechende E-Mail-Adresse. Die E-Mail-Benachrichtigung wird nicht an Benutzer ohne E-Mail-Adresse gesendet. Benutzer und E-Mail-Adressen werden unter AdministrationKontenverwaltungBenutzerkonten konfiguriert.
    4. Wählen Sie Benachrichtigungen an folgende E-Mail-Adresse(n) senden, und geben Sie dann die E-Mail-Adressen ein.
    5. Übernehmen oder ändern Sie die Standardbetreffzeile und -nachricht. Verwenden Sie Token-Variablen als Platzhalter für Daten in den Feldern Betreff und Nachricht.

      Token-Variablen für C&C-Callback-Benachrichtigungen

      Variable
      Beschreibung
      %CLIENTCOMPUTER%
      Zielendpunkt, der den Callback gesendet hat
      %IP%
      IP-Adresse des Zielendpunkts
      %DOMAIN%
      Domäne des Endpunkts
      %DATETIME%
      Datum und Uhrzeit, als die Übertragung entdeckt wurde
      %CALLBACKADDRESS%
      Callback-Adresse des C&C-Servers
      %CNCRISKLEVEL%
      Risikostufe des C&C-Servers
      %CNCLISTSOURCE%
      Gibt die C&C-Quellenliste an
      %ACTION%
      Durchgeführte Aktion
  4. Auf der Registerkarte SNMP-Trap:
    1. Navigieren Sie zum Abschnitt C&C-Callbacks.
    2. Wählen Sie Benachrichtigung per SNMP-Trap aktivieren.
    3. Übernehmen Sie die Standardmeldung oder ändern Sie sie. Sie können Token-Variablen als Platzhalter für Daten im Feld Nachricht verwenden. Weitere Informationen finden Sie unter Token-Variablen für C&C-Callback-Benachrichtigungen.
  5. Auf der Registerkarte NT Ereignisprotokoll:
    1. Navigieren Sie zum Abschnitt C&C-Callbacks.
    2. Wählen Sie Benachrichtigung über NT-Ereignisprotokoll aktivieren.
    3. Übernehmen Sie die Standardmeldung oder ändern Sie sie. Sie können Token-Variablen als Platzhalter für Daten im Feld Nachricht verwenden. Weitere Informationen finden Sie unter Token-Variablen für C&C-Callback-Benachrichtigungen.
  6. Klicken Sie auf Speichern.