檢視次數:

在目標端點上啟用積極模式,以提供更敏感的檢測和回應。

重要
重要
  • 偵測模式和積極模式是預發布子功能,並不屬於正式商業或一般發布的現有功能。使用這些子功能前,請先閱讀預發布子功能免責聲明
  • 啟用積極模式會提高惡意程式防護掃瞄和行為監控的靈敏度,這可能會影響系統效能並增加工作台警報的數量。
  • 進取模式最多支援 20 個活動端點。
  • 目前,積極模式僅支援使用從端點清單下載的代理程式安裝包部署到 64 位元 (x86-64) 作業系統的代理程式。
  • 不支援使用從軟體畫面下載的套件部署的伺服器和工作負載保護代理。
端點清單中的Detection Mode選項允許您配置端點以利用正常掃描行為或啟用aggressive mode。激進模式允許對於正在進行的安全威脅調查、滲透測試或優先監控敏感資產等情況進行更嚴格的監控和回應。
積極模式目前僅適用於由 Server & Workload Protection 和 Standard Endpoint Protection 管理的端點。您必須在啟用積極模式之前在保護管理器中配置設置。請使用以下步驟來準備您的環境並啟用積極模式。

步驟

  1. Configure 您的 Standard Endpoint Protection Manager.
    1. Trend Vision One 主控台中,前往 Endpoint SecurityStandard Endpoint Protection
      如果您配置了多個 Standard Endpoint Protection 實例,請導航至您要配置的實例。
    2. 請前往Policies策略管理,並編輯分配給您希望使用的端點的政策以啟用積極模式。
      秘訣
      秘訣
      您也可以為此任務建立一個新政策。在啟用積極模式之前,請確保您已指派目標端點到該任務。
    3. 在政策詳情畫面中,前往Anti-Malware Scans即時掃瞄
    4. Target標籤上,選擇Quarantine malware variants detected in memory
    5. 處理行動標籤下,於病毒/惡意程式中,選擇Use ActiveAction
      重要
      重要
      請勿選擇Customize action for probably virus/malware
    6. 前往進階安全威脅防護Suspicious Connection
    7. 根據您計劃為激進模式配置的操作來配置操作。
      • Detect network connections made to addresses in the Global C&C IP list
      • Detect connections using malware network fingerprinting
      配置以下其中一個操作:
      • 如果您想設置積極模式以使用預防措施,請為兩者選擇封鎖
      • 如果您想將積極模式設置為僅使用日誌操作,請為兩者選擇Log only
      重要
      重要
      對於積極模式,趨勢科技強烈建議您保持以下設定已啟動:
      • Clean suspicious connections when a C&C callback is detected
    8. 點選Deploy以儲存設定。
  2. 配置您的Server & Workload Security保護管理員。
    1. Trend Vision One 主控台中,前往 Endpoint SecurityServer & Workload Protection
      如果您配置了多個伺服器和工作負載保護實例,請導航到您要配置的實例。
    2. 前往Policies,選擇您要編輯的政策並點選Details...
      秘訣
      秘訣
      您也可以為此任務建立一個新政策。在啟用積極模式之前,請確保您已指派目標端點到該任務。
    3. 在政策詳情畫面中,前往惡意程式防護
    4. 即時掃瞄下,找到Malware Scan Configuration並點選編輯
    5. 在出現的畫面中,前往General
    6. 行為監控下,選擇Enable Behavior Monitoring
    7. 對於Action to take,選擇ActiveAction (recommended)
    8. Windows Antimalware Scan Interface (AMSI)下,選擇Enable AMSI protection
    9. 對於Action to take,選擇Terminate (recommended)
    10. Process Memory Scan下,選擇Scan process memory for malware
    11. 對於Action to take,選擇ActiveAction (recommended)
    12. 前往Advanced
    13. Remediation Actions下,選擇Use recommended defaults
    14. 點選確定
    15. 在政策詳情畫面中,點選儲存
  3. Trend Vision One 主控台中,前往 Endpoint SecurityEndpoint Inventory
  4. 定位並選擇您要配置的端點。
  5. 點選Detection Mode
  6. 選擇Aggressive mode
  7. 選擇要採取的動作。
    • Prevention:代理程式對檢測到的惡意程式類型採取預設的 ActiveAction。
      如需有關 ActiveActions 的詳細資訊,請參閱 ActiveActions 預設動作
    • Log only:代理程式僅記錄檢測結果,不採取任何行動。
  8. 點選下一步
  9. 檢查Selected Endpoints
    點選移除圖示 (xmark_icon=773fb77a-7552-4201-85f7-8d8bfb8f3251.png) 以從列表中移除選定的端點。
  10. 點選Apply
    所選的端點在下次連接到Trend Vision One時將應用監控級別。
相關資訊