- [管理] > [通知] > [アウトブレーク] に移動します。
[アウトブレーク通知] 画面が表示されます。
- [C&Cコールバック] の [条件] タブで、次の項目を設定します。
オプション 説明 同様に感染しているホスト
エンドポイントごとにコールバック検出に基づいてアウトブレークを定義する場合に選択します。
C&Cリスクレベル
アウトブレークが実行されるのは、すべてのC&Cコールバックか、または高リスクのソースのみかを指定します。
処理
大規模感染の状況を判断するためにApex Oneで考慮する必要のある処理を指定します。
検出数
大規模感染の状況を通知するためにApex Oneで必要な検出数を指定します。
期間
監視期間を指定します。
- [メール] タブで次の操作を実行します。
- [C&Cコールバック] で、[メールによる通知を有効にする] を選択します。
- [受信者] でメールの受信者を指定します。
- メール通知で使用する件名を [件名] に指定します。
- メッセージの内容を [メッセージ] に指定します。
Apex Oneの [件名] と [メッセージ] では、トークンを使用できます。
表 1. C&Cコールバックアウトブレーク通知のトークン変数 変数トークン
説明
%C
C&Cコールバックログの数
%T
C&Cコールバックログを累積する期間
- 通知に含める追加のログデータを (表形式で) 指定します。
ログの列
説明
日時
検出の日時
感染ホスト
検出を含むエンドポイント
IPアドレス
感染ホストのIPアドレス
ドメイン
検出が行われたエンドポイントドメイン
コールバックアドレス
検出を実行したURL
C&Cリスクレベル
コールバックアドレスのリスクレベル
C&Cリストのソース
C&Cサーバを特定したC&Cリストのソース
処理
セキュリティリスクに対して実行された処理
-
[SNMPトラップ] タブで次の操作を実行します。
- [C&Cコールバック] セクションに移動します。
- [SNMP トラップによる通知を有効にする] を選択します。
- 初期設定のメッセージをそのまま使用するか変更します。[メッセージ] では、トークン変数を使用してデータを表現できます。詳細については、表 1を参照してください。
-
[Windowsイベントログ] タブで次の操作を実行します。
- [C&Cコールバック] セクションに移動します。
- [Windowsイベントログによる通知を有効にする] を選択します。
- 初期設定のメッセージをそのまま使用するか変更します。[メッセージ] では、トークン変数を使用してデータを表現できます。詳細については、表 1を参照してください。
- [保存] をクリックします。
親トピック: C&Cコールバックアウトブレーク