Trend Vision One Endpoint Securityエージェントでは、エンドポイントとグローバルC&C IPリスト内のアドレス間の接続をすべてブロックしてログに記録できます。ログに記録したうえで、ユーザ指定のブロックIPリストに設定されたIPアドレスへのアクセスを許可することもできます。
また、ボットネットやその他の不正プログラムに起因する接続も監視でき、不正プログラムの脅威が検出された場合はこれを駆除できます。
手順
- トレンドマイクロで確認済みのC&Cサーバへの接続を監視するには、[グローバルC&C IPリスト内のアドレスへのネットワーク接続を検出] 設定を有効にし、[ログのみ] または [ブロック] のいずれかを選択します。
-
ユーザ指定ブロックIPリスト内のアドレスへの接続をエージェントに許可するには、[ユーザ指定ブロックIPリスト内のアドレスへのアクセスを許可してログに記録] 設定を有効にします。
注意
ユーザ指定ブロックIPリスト内のアドレスへのアクセスを許可するためには、まず [グローバルC&C IP リスト内のアドレスへのネットワーク接続をログに記録] を有効にする必要があります。 -
- [不正プログラムネットワークフィンガープリントを使用して接続を検出]を選択してこの機能を有効にします。
- [検出] および [対策] 用の [監視レベル] 設定を行います。
重要
-
監視レベルが高いほど検出感度が高くなりますが、重要ではないログが大量に生成されてエンドポイントのパフォーマンスに影響する可能性があります。トレンドマイクロでは、[2 - 中程度] を選択し、エンドポイントへの影響を最小限に抑えながら関連性が高いデータを取得することをお勧めします。
-
[対策] レベルは [検出] レベル以下に設定する必要があります。
-
[ブロックする脅威] の設定では、選択した対策レベルに対して実行される対策の処理に影響する可能性があります。
-
- [実行する処理] を選択します。
-
[ログのみ]: イベントを記録する処理以外は実行しません。
-
[ブロック]: 接続をブロックします。
-
- C&Cサーバへの接続を止めるには、[C&Cコールバックの検出時に不審接続監視元を駆除]設定を有効にします。Trend Vision One Endpoint Securityエージェントは、GeneriCleanを使用して不正プログラムの脅威を駆除し、C&Cサーバへの接続を終了します。
重要
パケット構造のマッチングで検出されたC&Cサーバへの接続を止めるためには、まず [不正プログラムネットワークフィンガープリントを使用して接続をログに記録] を有効にする必要があります。