 |
注意
|
在啟動可疑端點後您可以指定的處理行動
您必須啟動此功能。預設為關閉。
在啟動此功能後,您可以指定當 Cloud Edge 在端點上偵測到 C&C 回呼超過所設閾值時所要採取的處理行動(封鎖或監控)。
當在指定的時間範圍內偵測到指定的事件數目時,即表示達到閾值。您可以設定事件數目和時間範圍:
-
事件數(預設值為 50)範圍:1 到 1000
-
時間範圍(預設值為 1 小時)有效的時間範圍:30 分鐘、1 小時、6 小時、12 小時、1 天
Cloud Edge 會定期與端點同步處理資訊,以取得更新的資訊。
您可以指定的處理行動
如果符合性檢查發現端點違反閾值設定,Cloud Edge 可以採取兩種處理行動方案中的一種:
- 封鎖封鎖對 Internet 的所有存取。例外:如果流量/URL 列在全域核可清單中,則不封鎖端點。不會封鎖 DNS 和 DHCP 的流量。如果某個端點遭到封鎖,則會向用戶端瀏覽器傳送「可疑端點違規」通知頁面。
注意
如果您將處理行動設定為「封鎖」,則可疑端點將無法存取 Internet。 - 監控允許存取 Internet,但可疑端點會新增到違規清單中。
如何使用違規清單
您可以使用「違規清單」區段來檢視其可疑活動偵測數超過閾值之所有端點的相關資訊。
-
在啟動「可疑端點」後,Cloud Edge 會開始將超過閾值的端點填入到違規清單中。
-
如果處理行動設定為「封鎖」,您可以透過按一下適當列中的「解除」,將違規清單中的特定端點排除封鎖。
如何使用疑難排解頁面上的清單
如果處理行動設定為「封鎖」,則您可以檢視疑難排解頁面上的清單,來查看哪些端點因為違規而遭到封鎖。
如果 Cloud Edge 設備已經離線,您可以檢視清單,但無法執行任何操作,例如「解除」。