セキュリティエージェントでは、エンドポイントとグローバルC&C IPリスト内のアドレス間の接続をすべてブロックしてログに記録できます。ログに記録したうえで、ユーザ指定のブロックIPリストに設定されたIPアドレスへのアクセスを許可することもできます。
また、ボットネットやその他の不正プログラムに起因する接続も監視でき、不正プログラムの脅威が検出された場合はこれを駆除できます。
- [エージェント] > [エージェント管理] に移動します。
- エージェントツリーで、ルートドメインアイコン () をクリックしてすべてのエージェントを含めるか、特定のドメインまたはエージェントを選択します。
-
[設定] > [不審接続監視設定] の順にクリックします。
[不審接続監視設定] 画面が表示されます。
- トレンドマイクロで確認済みのC&Cサーバへの接続を監視するには、[グローバルC&C IPリスト内のアドレスへのネットワーク接続を検出] 設定を有効にし、[ログのみ] または [ブロック] のいずれかを選択します。
-
ユーザ指定ブロックIPリスト内のアドレスへの接続をエージェントに許可するには、[ユーザ指定ブロックIPリスト内のアドレスへのアクセスを許可してログに記録] 設定を有効にします。
注:グローバルC&C IPリストの詳細については、不審接続監視サービスを参照してください。ユーザ指定ブロックIPリスト内のアドレスへのアクセスを許可するためには、まず [グローバルC&C IP リスト内のアドレスへのネットワーク接続をログに記録] を有効にする必要があります。
-
- [不正プログラムネットワークフィンガープリントを使用して接続を検出] 設定を有効にし、[ログのみ] または [ブロック] のいずれかを選択します。
不正プログラムネットワークフィンガープリントにより、パケットヘッダーのパターンマッチングが実行されます。セキュリティエージェントは、適合度ルールパターンファイルを使用して、ヘッダーが既知の不正プログラムに一致するパケットからの接続をすべてログに記録します。
-
C&Cサーバへの接続を止めるには、[C&Cコールバックの検出時に不審接続監視元を駆除] 設定を有効にします。セキュリティエージェントは、GeneriCleanを使用して不正プログラムの脅威を駆除し、C&Cサーバへの接続を終了します。
注:パケット構造のマッチングで検出されたC&Cサーバへの接続を止めるためには、まず [不正プログラムネットワークフィンガープリントを使用して接続をログに記録] を有効にする必要があります。
-
-
エージェントツリーでドメインまたはエージェントを選択した場合は、[保存] をクリックします。ルートドメインアイコンをクリックした場合は、次のオプションのいずれかを選択します。
-
すべてのエージェントに適用: すべての既存のエージェント、および既存または今後追加されるドメインに加えられる新しいエージェントに、設定を適用します。今後追加されるドメインとは、設定を指定した時点でまだ作成されていないドメインのことです。
-
今後追加されるドメインにのみ適用: 今後追加されるドメインに加えられるエージェントにのみ設定を適用します。このオプションでは、既存のドメインに加えられる新しいエージェントには設定を適用しません。
-