使用已连接的威胁防御检测新出现的威胁
这是趋势科技服务器深度安全防护系统 10 中的新功能。
仅适用于本地趋势科技服务器深度安全防护系统软件安装
在现代数据中心,越来越多的安全漏洞都是由使用网络钓鱼和鱼叉式网络钓鱼等技术的目标攻击造成的。在这些情况下,恶意软件制造者可以通过创建专门针对您的环境的恶意软件,绕开传统的恶意软件扫描程序。趋势科技服务器深度安全防护系统通过已连接的威胁防御功能增强了针对新的和新出现的威胁的恶意软件防护。
在本文中:
- 已连接的威胁防御如何工作?
- 检查已连接的威胁防御的系统必备
- 设置与深度发现分析器的连接
- 设置与趋势科技控制管理中心的连接
- 创建恶意软件扫描配置以便与已连接的威胁防御一起使用
- 为计算机启用已连接的威胁防御
- 手动向深度发现提交文件以用于分析
- 允许引发了误报的文件
- 为可疑文件配置扫描操作
- 在趋势科技服务器深度安全防护系统中更新可疑对象列表
- 在多租户环境中配置已连接的威胁防御
- 支持的文件类型
已连接的威胁防御如何工作?
- 正确配置所有组件后,趋势科技服务器深度安全防护系统客户端将使用启发式检测来分析受保护计算机上的文件并确定哪些是可疑文件。
- (可选)您可以手动或自动将可疑文件从趋势科技服务器深度安全防护系统发送到深度发现分析器,它会在沙盒(安全、隔离的虚拟环境)中执行并观察可疑文件。
- 趋势科技服务器深度安全防护系统管理中心会从深度发现分析器获取沙盒分析结果。
沙盒分析报告不提供防护;它只提供有关深度发现分析的信息。要获取完整的防护,此功能需要连接到趋势科技控制管理中心。此报告每 15 分钟从深度发现分析器中检索一次。
- 深度发现分析器会将分析结果推送到趋势科技控制管理中心,在其中可以根据分析对文件指定操作。一旦指定操作后,就会创建或更新被称为可疑对象列表的新出现的威胁列表。其他趋势科技产品,例如深度发现检查器或深度发现电子邮件检查器,也可以连接到趋势科技控制管理中心,而且也能够更新列表。
- (可选)您可以对趋势科技服务器深度安全防护系统管理中心进行配置,使其接收来自趋势科技防毒墙控制管理中心的可疑对象列表,并将可疑对象列表发送到趋势科技服务器深度安全防护系统客户端。
检查已连接的威胁防御的系统必备
在将趋势科技服务器深度安全防护系统连接到深度发现之前,请检查确保您的环境满足以下要求:
- 已安装趋势科技服务器深度安全防护系统管理中心,并已使用趋势科技服务器深度安全防护系统客户端或保护计算机的趋势科技服务器深度安全防护系统客户端或两者对其进行配置。
可选:
- 已安装深度发现分析器 5.5,并且已配置沙盒虚拟机。
- 已安装趋势科技防毒墙控制管理中心 6.0 SP3 Patch 2 或更高版本。
- 深度发现分析器已经添加到受趋势科技控制管理中心管理的服务器。有关详细信息,请参阅趋势科技控制管理中心文档。
要使用具有趋势科技服务器深度安全防护系统虚拟设备的已连接的威胁防御,您必须使用 VMware NSX 6.x。
设置与深度发现分析器的连接
如果希望趋势科技服务器深度安全防护系统管理中心将可疑文件发送到深度发现分析器进行分析,您需要设置连接。
如果控制管理中心正在管理趋势科技服务器深度安全防护系统:
- 在趋势科技服务器深度安全防护系统管理中心中,转至管理 > 系统设置 > 已连接的威胁防御。
- 选择启用将可疑文件提交至深度发现分析器。
- 如果您想让趋势科技服务器深度安全防护系统管理中心将文件自动提交至深度发现分析器,请选择启用自动文件提交。
自动提交至深度发现分析器每 15 分钟进行一次,并且每次提交最多可以提交 100 个文件
- 选择使用与趋势科技服务器深度安全防护系统所注册的控制管理中心关联的深度发现分析器。
- 单击测试连接。如果您收到指明趋势科技服务器深度安全防护系统由于证书缺失或无效而无法连接的错误消息,请单击添加/更新证书,以更新为正确的深度发现分析器证书。
- 单击保存。
如果控制管理中心尚未管理趋势科技服务器深度安全防护系统:
- 在深度发现分析器中,转至帮助 > 关于并记下服务 URL 和 API 密钥。您之后将需要这些值,所以请将这些值临时复制到文本文件。
- 在趋势科技服务器深度安全防护系统管理中心中,转至管理 > 系统设置 > 已连接的威胁防御。
- 选择启用将可疑文件提交至深度发现分析器。
- 如果您想让趋势科技服务器深度安全防护系统管理中心将文件自动提交至深度发现分析器,请选择启用自动文件提交。
自动提交至深度发现分析器每 15 分钟进行一次,并且每次提交最多可以提交 100 个文件
- 选择手动选择深度发现分析器服务器,并输入您在步骤 1 中找到的服务器 URL 和 API 密钥。
- 单击测试连接。如果您收到指明趋势科技服务器深度安全防护系统由于证书缺失或无效而无法连接的错误消息,请单击添加/更新证书,以更新为正确的深度发现分析器证书。
- 单击保存。
设置与趋势科技控制管理中心的连接
配置这些设置时,趋势科技服务器深度安全防护系统管理中心能够从趋势科技防毒墙控制管理中心检索可疑对象列表并将其与受保护的计算机共享,还可以将本地对象与控制管理中心的可疑对象列表相比较。
如果控制管理中心正在管理趋势科技服务器深度安全防护系统:
- 在趋势科技服务器深度安全防护系统管理中心中,转至管理 > 系统设置 > 已连接的威胁防御。
- 选择按照可疑对象列表比较对象。
- 如果趋势科技控制管理中心正在管理趋势科技服务器深度安全防护系统,请选择使用趋势科技服务器深度安全防护系统注册的控制管理中心。
- 单击测试连接。如果您收到指明趋势科技服务器深度安全防护系统由于证书缺失或无效而无法连接的错误消息,请单击添加/更新证书,以更新为正确的趋势科技防毒墙控制管理中心证书。
- 单击保存。
如果控制管理中心尚未管理趋势科技服务器深度安全防护系统:
- 在趋势科技防毒墙控制管理中心中,转至管理 > 可疑对象 > 分发设置。记录服务 URL 和 API 密钥。您之后将需要这些值,所以请将这些值临时复制到文本文件。
- 在趋势科技服务器深度安全防护系统管理中心中,转至管理 > 系统设置 > 已连接的威胁防御。
- 选择对比对象与可疑对象列表。
- 选择手动选择控制管理中心服务器,并输入您在步骤 1 中找到的服务器 URL 和 API 密钥。
- 单击测试连接。如果您收到指明趋势科技服务器深度安全防护系统由于证书缺失或无效而无法连接的错误消息,请单击添加/更新证书,以更新为正确的趋势科技防毒墙控制管理中心证书。
- 单击保存。
创建恶意软件扫描配置以便与已连接的威胁防御一起使用
以下配置允许趋势科技服务器深度安全防护系统检测可疑文件、备份可疑文件,并将可疑文件自动发送至深度发现分析器,以便进一步分析。
- 在趋势科技服务器深度安全防护系统管理中心中,转至策略 > 通用对象 > 其他 > 恶意软件扫描配置。
- 创建新的扫描配置或编辑现有配置。
- 在常规选项卡上的文档利用防护下,选择扫描文档中有无利用,然后选择以下选项之一:
- 仅扫描对已知严重漏洞的利用:仅检测已知的严重漏洞。
- 扫描对已知严重漏洞的利用和未知可疑利用的主动型检测:将检测更多问题,但是也可能导致更多误报。如果要检测可疑文件并将其提交到深度发现分析器,您必须选择此选项。
- 配置恶意软件扫描配置中所述的其他恶意软件扫描设置。
为计算机启用已连接的威胁防御
您可以在策略中或为单个计算机启用已连接的威胁防御。
- 在计算机编辑器或策略编辑器可以更改策略或特定计算机的这些设置。 要更改策略的设置,请转至“策略”页面并双击要编辑的策略(或者选择策略并单击“详细信息”)。 要更改计算机的设置,请转至“计算机”页面并双击要编辑的计算机(或者选择计算机并单击“详细信息”)。中,转至防恶意软件 > 常规。
- 确保防恶意软件状态为打开或已继承 (打开)。
- 常规选项卡包含实时扫描、手动扫描和预设扫描部分。(有关各种扫描类型的信息,请参阅通过四个步骤保护服务器免受恶意软件攻击。)在相应部分使用恶意软件扫描配置列表来选择您在上面创建的扫描配置。
- 转至已连接的威胁防御选项卡,然后根据需要调整以下设置:
- 如果希望趋势科技服务器深度安全防护系统将可疑文件发送到深度发现分析器,请将沙盒分析下的选项设置为是或已继承 (是)。
- 如果您已经在趋势科技服务器深度安全防护系统和趋势科技防毒墙控制管理中心之间设置连接,并且要使用控制管理中心的可疑对象列表来检测恶意文件,请将使用控制管理中心的可疑对象列表(可疑对象列表下)设置为是或已继承 (是)。
- 单击保存。
手动向深度发现提交文件以用于分析
可以手动提交显示在事件和报告 > 事件 > 防恶意软件事件 > 识别的文件页面上的文件。
- 选择要提交的文件,然后单击分析按钮。
- 请遵循出现的向导中的步骤。
- 提交文件后,您可以在“识别的文件”页面上的提交状态列中检查该文件的分析进度。
- 分析完成后,提交状态列会显示“结果就绪”。单击结果就绪链接可查看详细信息。
允许引发了误报的文件
如果某个文件在事件和报告 > 事件 > 防恶意软件事件 > 识别的文件页面上识别为恶意软件,但您知道该文件不是恶意软件,则可以将其添加到计算机编辑器或策略编辑器可以更改策略或特定计算机的这些设置。 要更改策略的设置,请转至“策略”页面并双击要编辑的策略(或者选择策略并单击“详细信息”)。 要更改计算机的设置,请转至“计算机”页面并双击要编辑的计算机(或者选择计算机并单击“详细信息”)。的防恶意软件 > 高级选项卡上的文档利用防护规则的例外列表。
要允许该文件,请右键单击该文件并单击允许,然后按照向导中显示的步骤执行操作。
为可疑文件配置扫描操作
您可以在趋势科技控制管理中心控制台查看可疑对象列表并配置发现可疑对象时应该采取的操作(记录、组织或隔离)。(请参阅可疑对象管理和处理过程,获取有关配置操作的详细信息。)如果您已经配置趋势科技服务器深度安全防护系统管理中心以便从控制管理中心获取可疑对象列表,那么趋势科技服务器深度安全防护系统将在发现可疑对象时执行指定操作。
趋势科技服务器深度安全防护系统支持文件可疑对象。如果 Web 信誉防护模块被配置为使用趋势科技云安全智能防护服务器,那么趋势科技服务器深度安全防护系统还支持 URL 可疑对象。趋势科技服务器深度安全防护系统不支持 IP 和域可疑对象。
趋势科技控制管理中心 6.0 SP3 用户定义的对象无法与趋势科技服务器深度安全防护系统配合使用。虚拟分析器的文件对象能够与趋势科技服务器深度安全防护系统配合使用。
在趋势科技服务器深度安全防护系统中更新可疑对象列表
在针对可疑对象的分析完成后,以及针对文件的操作已经在趋势科技控制管理中心设置完成后,趋势科技服务器深度安全防护系统可以使用趋势科技控制管理中心的可疑对象列表来保护您的计算机。要手动更新趋势科技服务器深度安全防护系统管理中心中的可疑文件列表,请转至管理 > 更新 > 安全,然后使用“可疑对象列表更新”列中的控件来获取最新列表并将其发送至受保护的计算机。您还可以创建定期检查更新列表的预设任务(请参阅为趋势科技服务器深度安全防护系统创建任务执行时间表)。
在趋势科技防毒墙控制管理中心中,缺省可疑对象设置是“日志”。您可能需要考虑将缺省设置更改为“隔离”或“阻止”。
如果趋势科技服务器深度安全防护系统中的可疑对象列表已更新,并且计算机策略已经使用指定的操作进行更新,则趋势科技服务器深度安全防护系统客户端将检查受影响的计算机,并在受保护的计算机上再次出现该文件时使用此操作。
在多租户环境中配置已连接的威胁防御
在多租户环境中,主租户 (t0) 可以选择是否与其他租户共享深度发现分析器设置和趋势科技防毒墙控制管理中心设置。控制此行为的设置是管理 > 系统设置 > 租户 > 允许租户使用主租户的趋势科技防毒墙控制管理中心和深度发现分析器服务器的设置:
- 如果启用该设置,则当租户转至管理 > 系统设置 > 已连接的威胁防御时,他们还会看到使用缺省服务器设置复选框。如果选中此复选框,租户将使用主租户的设置。如果未选中使用缺省服务器设置,则租户可以配置自己的已连接的威胁防御设置。
- 如果未启用该设置并且租户想要使用已连接的威胁防御,他们必须使用自己的趋势科技防毒墙控制管理中心和深度发现分析器。
支持的文件类型
趋势科技服务器深度安全防护系统可以将以下文件类型发送到深度发现分析器:
- doc — Microsoft Word 文档
- docx — Microsoft Office Word 2007 文档
- gul — JungUm Global 文档
- hwp — Hancom Hangul Word Processor (HWP) 文档
- hwpx — Hancom Hangul Word Processor 2014 (HWPX) 文档
- jar — Java 小程序 Java 应用程序
- js — JavaScript 文件
- jse — JavaScript 编码脚本文件
- jtd — JustSystems Ichitaro 文档
- lnk — Microsoft Windows Shell 二进制链接快捷方式
- mov — Apple QuickTime 媒体
- pdf — Adobe 可移植文档格式 (PDF)
- ppt — Microsoft Powerpoint 演示文稿
- pptx — Microsoft Office PowerPoint 2007 演示文稿
- ps1 — Microsoft Windows PowerShell 脚本文件
- rtf — Microsoft 富文本格式 (RTF) 文档
- swf — Adobe Shockwave Flash 文件
- vbe — Visual Basic 编码脚本文件
- vbs — Visual Basic 脚本文件
- xls — Microsoft Excel 电子表格
- xlsx — Microsoft Office Excel 2007 电子表格
- xml — Microsoft Office 2003 XML 文件