Trend Vision One 端點安全代理可以記錄並封鎖端點與全域 C&C IP 清單中的位址之間建立的所有連線。您還可以記錄(同時也可存取)使用者定義的封鎖 IP 清單中設定的 IP 位址。
Trend Vision One 端點安全代理 也可以監控可能由僵屍網路或其他惡意程式威脅產生的連線。偵測到惡意程式威脅後,Trend Vision One 端點安全代理 可嘗試清除感染。
步驟
- 啟動「偵測對全域 C&C IP 清單中的位址進行的網路連線」設定,來監控對趨勢科技已確認之 C&C 伺服器進行的連線,然後選取「僅記錄」或「封鎖」連線。
-
如果要允許用戶端連線到使用者定義的封鎖 IP 清單中的位址,請啟動「記錄並允許存取使用者定義的封鎖 IP 清單位址」設定。
注意
您必須先啟動網路連線記錄,然後 Trend Vision One 端點安全代理 才能允許存取使用者定義的封鎖 IP 清單中的位址。 -
- 選取使用惡意程式網路特徵鑑別來偵測連線以啟動該功能。
- 設定「偵測」和「防範」的「監控等級」設定。
重要
-
較高的監控等級可提供更高的敏感度,但可能會產生大量非必要記錄檔並影響端點效能。趨勢科技建議您選取「2 - 中等」,以在取得更相關資料的同時,將對端點的影響降到最小。
-
「防範」等級必須等於或低於「偵測」等級。
-
「要封鎖的安全威脅」選取內容可能會影響對所選防範等級採取的防範處理行動。
-
- 選擇採取的處理行動
-
僅記錄檔:記錄事件但不採取任何處理行動。
-
封鎖:封鎖連線。
-
- 如果要允許 Trend Vision One 端點安全代理嘗試清除與 C&C 伺服器建立的連線,請啟動偵測到 C&C 回呼時清除可疑連線設定。Trend Vision One 端點安全代理會使用 GeneriClean 清除惡意程式威脅,並終止與 C&C 伺服器的連線。
重要
您必須先啟動「使用惡意程式網路特徵鑑別的記錄檔連線」,Trend Vision One 端點安全代理 才能嘗試清除與封包結構比對偵測到的 C&C 伺服器之間建立的連線。