Security Agent可以記錄並封鎖端點與全域 C&C IP 清單中的位址之間建立的所有連線。您還可以記錄(同時也可存取)使用者定義的封鎖 IP 清單中設定的 IP 位址。
Security Agent 也可以監控可能由僵屍網路或其他惡意程式威脅產生的連線。偵測到惡意程式威脅後,Security Agent 可嘗試清除感染。
- 移至「用戶端 > 用戶端管理」。
- 在用戶端樹狀結構中,請點選根網域圖示 () 以包含所有的用戶端,或選取特定網域或用戶端。
-
請點選「設定 > 可疑連線設定」。
會出現「可疑連線設定」畫面。
-
啟動「偵測對全域 C&C IP 清單中的位址進行的網路連線」設定,來監控對趨勢科技已確認之 C&C 伺服器進行的連線,然後選取「僅記錄」或「封鎖」連線。
-
如果要允許用戶端連線到使用者定義的封鎖 IP 清單中的位址,請啟動「記錄並允許存取使用者定義的封鎖 IP 清單位址」設定。
註:如需有關全域 C&C IP 清單的詳細資訊,請參閱可疑連線服務。您必須先啟動網路連線記錄,然後 Security Agent 才能允許存取使用者定義的封鎖 IP 清單中的位址。
-
-
啟動「使用惡意程式網路特徵鑑別來偵測連線」設定,然後選取「僅記錄檔」或「封鎖」連線。
惡意程式網路特徵鑑別會對封包標頭執行病毒碼比對。只要封包的標頭經關聯規則病毒碼比對後,符合已知惡意程式安全威脅,Security Agent就會記錄這些封包進行的所有連線。
-
如果要允許 Security Agent嘗試清除與 C&C 伺服器建立的連線,請啟動「偵測到 C&C 回呼時清除可疑連線」設定。Security Agent會使用 GeneriClean 清除惡意程式威脅,並終止與 C&C 伺服器的連線。
註:您必須先啟動「使用惡意程式網路特徵鑑別的記錄檔連線」,Security Agent 才能嘗試清除與封包結構比對偵測到的 C&C 伺服器之間建立的連線。
-
-
如果在用戶端樹狀結構中選取網域或用戶端,請點選「儲存」。如果按下了根網域圖示,則從下列選項進行選擇:
-
套用至所有用戶端:將設定套用至所有現有的用戶端,並套用至任何加入現有/未來網域中的新用戶端。未來網域是指在您設定這些設定時尚未建立的網域。
-
僅套用至未來網域:僅將設定套用至加入未來網域中的用戶端。這個選項不會將設定套用到加入現有網域中的新用戶端。
-
上層主題: 可疑連線服務