Ansichten:
TrendAI Vision One™ Endpunkt-Sicherheitsagenten kann alle Verbindungen zwischen Endpunkten und Adressen in der globalen C&C-IP-Liste protokollieren und sperren. Sie können IP-Adressen protokollieren, die in der benutzerdefinierten Liste mit gesperrten IP-Adressen konfiguriert sind, aber dennoch den Zugriff auf diese IP-Adressen erlauben.
TrendAI Vision One™ Endpunkt-Sicherheitsagenten kann außerdem Verbindungen überwachen, die das Ergebnis einer Botnet- oder sonstigen Malware-Bedrohung sind. Wenn eine Malware-Bedrohung erkannt wurde, kann TrendAI Vision One™ Endpunkt-Sicherheitsagenten versuchen, die Infektion zu beseitigen.

Prozedur

  1. Aktivieren Sie die Einstellung Detect network connections made to addresses in the Global C&C IP list, um Verbindungen zu den von TrendAI™ bestätigten C&C-Servern zu überwachen, und wählen Sie, ob Sie Verbindungen Nur protokollieren oder Sperren möchten.
    • Um Agenten die Verbindung zu Adressen in der Benutzerdefinierten Liste mit gesperrten IP-Adressen zu ermöglichen, aktivieren Sie die Einstellung Zugriff auf benutzerdefinierte Liste mit gesperrten IP-Adressen zulassen und protokollieren.
    Hinweis
    Hinweis
    Sie müssen die Protokollierung von Netzwerkverbindungen aktivieren, damit TrendAI Vision One™ Endpunkt-Sicherheitsagenten den Zugriff auf Adressen in der benutzerdefinierten Liste mit gesperrten IP-Adressen zulassen kann.
  2. Wählen Sie Erkennen von Verbindungen mithilfe des Fingerabdrucks für Netzwerk von Malware, um die Funktion zu aktivieren.
  3. Konfigurieren Sie die Überwachungsstufe-Einstellungen für Erkennung und Prävention.
    Wichtig
    Wichtig
    • Höhere Überwachungsstufen bieten eine höhere Empfindlichkeit, können jedoch eine große Anzahl nicht notwendiger Protokolle generieren und die Leistung des Endpunkts beeinträchtigen. TrendAI™ empfiehlt, 2 - Moderate auszuwählen, um relevantere Daten mit minimalen Auswirkungen auf Ihre Endpunkte zu erhalten.
    • Die Prävention-Stufe muss gleich oder niedriger als Erkennung sein.
    • Die Auswahl von Bedrohungen zum Sperren kann die Präventionsmaßnahmen für das ausgewählte Präventionsniveau beeinflussen.
  4. Wählen Sie den Zu ergreifende Maßnahmen aus.
    • Nur protokollieren: Ereignis protokollieren und keine Aktion ausführen.
    • Sperren: Die Verbindung sperren.
  5. Um TrendAI Vision One™ Endpunkt-Sicherheitsagenten zu ermöglichen, Verbindungen zu C&C-Servern zu bereinigen, aktivieren Sie die Einstellung Verdächtige Verbindungen säubern, wenn ein C&C-Callback erkannt wird.
    TrendAI Vision One™ Endpunkt-Sicherheitsagenten verwenden Sie GeneriClean, um die Malware-Bedrohung zu bereinigen und die Verbindung zum C&C-Server zu beenden.
    Wichtig
    Wichtig
    Sie müssen Log connections using malware network fingerprinting aktivieren, damit TrendAI Vision One™ Endpunkt-Sicherheitsagenten versuchen kann, die Verbindungen zu C&C-Servern zu säubern, die vom Paketstrukturabgleich erkannt wurden.