Configuration des notifications de rappels C&C pour les administrateurs
OfficeScan est fourni avec un ensemble de messages de notification par défaut vous informant, ainsi que les autres administrateurs OfficeScan, des détections de rappels C&C. Vous pouvez modifier les notifications et configurer des paramètres de notification supplémentaires qui répondent à vos exigences.
- Accédez à Administration > Notifications > Administrateur.
-
Sous Critères l'onglet :
- Accédez à la section Rappels C&C.
- Spécifiez si l'envoi des notifications doit être effectué lorsqu'OfficeScan détecte un rappel C&C (l'action peut être bloquée ou consignée) ou uniquement lorsque le niveau de risque de l'adresse de rappel est Élevé.
-
Sous E-mail l'onglet :
- Accédez à la section Rappels C&C.
- Sélectionnez Activer la notification par courrier électronique.
-
Sélectionnez Envoyer des notifications aux utilisateurs disposant de droits d'accès aux domaines de l'arborescence des agents.
Utilisez l'administration basée sur les rôles pour accorder aux utilisateurs l'accès aux domaines de l'arborescence des agents. Si une transmission se produit sur un agent appartenant à un domaine spécifique, le courrier électronique est envoyé aux adresses des utilisateurs disposant d'autorisations sur ce domaine. Pour des exemples, voir le tableau suivant :
Tableau 1. Domaines et autorisations de l'arborescence des agents Domaine de l'arborescence des agents
Rôles avec droits d'accès au domaine
Compte utilisateur avec le rôle
Adresse électronique pour le compte utilisateur
Domaine A
Administrateur (intégré)
racine
mary@xyz.com
Role_01
admin_john
john@xyz.com
admin_chris
chris@xyz.com
Domaine B
Administrateur (intégré)
racine
mary@xyz.com
Role_02
admin_jane
jane@xyz.com
Si un agent OfficeScan appartenant au domaine A détecte un rappel C&C, le courrier électronique sera envoyé à mary@xyz.com, john@xyz.com et chris@xyz.com.
Si un agent OfficeScan appartenant au domaine B détecte le rappel C&C, le courrier électronique est envoyé à mary@xyz.com et jane@xyz.com.
Remarque :Si vous activez cette option, tous les utilisateurs disposant des autorisations sur ce domaine doivent avoir une adresse électronique correspondante. La notification par courrier électronique ne sera pas envoyée aux utilisateurs qui n'ont pas d'adresse électronique. Les utilisateurs et les adresses électroniques sont configurés à partir de Administration > Gestion des comptes > Comptes utilisateurs.
- Sélectionnez Envoyer les notifications à/aux (l')adresse(s) électronique(s) suivante(s), puis saisissez les adresses électroniques.
-
Acceptez ou modifiez l'objet et le message par défaut. Utilisez des variables de jeton afin de représenter les données dans les champs Objet et Message.
Tableau 2. Variables de jetons pour les notifications de rappels C&C Variable
Description
%CLIENTCOMPUTER%
Endpoint cible ayant envoyé le rappel
%IP%
Adresse IP du endpoint cible
%DOMAIN%
Domaine de l'ordinateur
%DATETIME%
Date et heure auxquelles la transmission a été détectée
%CALLBACKADDRESS%
Adresse de rappel du serveur C&C
%CNCRISKLEVEL%
Niveau de risque du serveur C&C
%CNCLISTSOURCE%
Indique la liste des sources C&C
%ACTION%
Mesure prise
-
Sous l'onglet Déroutement SNMP :
- Accédez à la section Rappels C&C.
- Sélectionnez Activer la notification par déroutement SNMP.
- Acceptez ou modifiez le message par défaut. Utilisez des variables de jeton afin de représenter les données dans le champ Message. Voir Tableau 2 pour obtenir des informations détaillées.
-
Sous l'onglet Journal d'événements NT :
- Accédez à la section Rappels C&C.
- Sélectionnez Activer la notification via le journal d'événements NT.
- Acceptez ou modifiez le message par défaut. Vous pouvez utiliser des variables de jeton afin de représenter les données dans le champ Message. Voir Tableau 2 pour obtenir des informations détaillées.
- Cliquez sur Enregistrer.
