不審接続監視サービスは、ユーザ指定およびグローバルIP C&Cリストを管理し、エンドポイントから潜在的なC&Cサーバへの接続の挙動を監視します。
-
ユーザ指定の承認済みおよびブロック済みIPリストを使用すると、エンドポイントから特定のIPアドレスへのアクセスを許可するかどうかも制御できます。グローバルC&C IPリストでブロックされたアドレスへのアクセスを許可する場合や、セキュリティリスクをもたらす可能性があるアドレスへのアクセスをブロックする場合は、これらのリストを設定します。詳細については、ユーザ指定のIPリストのグローバル設定を参照してください。
-
グローバルC&C IPリストは、ネットワークコンテンツ検査エンジン (NCIE) と連携して機能し、トレンドマイクロで確認済みのC&Cサーバとのネットワーク接続を検出します。NCIEは、任意のネットワークチャネル経由でC&Cサーバとの接続を検出します。不審接続監視サービスは、グローバルC&C IPリスト内のすべてのサーバへの接続情報をログに記録します。グローバルC&C IPリストの有効化については、不審接続監視の設定を参照してください。
-
ネットワークパケットを適合度ルールパターンファイルとの照合によってエンドポイントで不正プログラムが検出された場合、不審接続監視サービスでは、接続をさらに調査してC&Cコールバックが発生したかどうかを特定できます。C&Cコールバックが検出された場合、Generic Cleanテクノロジを使用して接続元をブロックおよび駆除できます。不審接続監視サービスの設定については、不審接続監視の設定を参照してください。Generic Cleanの詳細については、Generic Cleanを参照してください。
C&Cサーバコールバックからエージェントを保護するには、[追加サービス設定] 画面で不審接続監視サービスを有効にします。詳細については、セキュリティエージェントの追加サービス設定を参照してください。