列印

在 TrendMicro Apex One 和OfficeScan (OSCE) 中啟用勒索病毒防護功能

檢視次數:

趨勢科技建議啟用適當的設置以獲得最佳的勒索病毒防護

對於 Apex One:

  1. 登錄 Apex One 管理 Web 控制台。
  2. 用戶端 > 用戶端管理.
  3. 從 Apex One 伺服器清單中點選 Apex One 網域。
  4. 點選 設定 接著點選 Machine Learning 設定。
  5. 勾選 啟動 Predictive Machine Learning.

  6. 在檢測設置下,啟用以下內容:

    • 文件類型將操作設置為隔離

    • 程序類型設置要終止的操作

      Predictive Machine Learning

  7. 點選 儲存 以部署更改。

  1. 登錄 Apex One 管理 Web 控制台。
  2. 用戶端 > 用戶端管理.
  3. 點選 設定 接著點選 網頁信譽評等服務設定.

  4. On the 內部用戶端 勾選 啟動網頁信譽評等於以下作業系統環境。 選擇以下內容;

    • 選擇 Windows 桌面和伺服器平台
    • 檢查 HTTPS URL

    • 向雲端掃瞄伺服器進行查詢

      Web Reputation Service

  5. 點選 套用設定至 所有用戶端

  1. 登錄 Apex One 管理 Web 控制台。
  2. 用戶端 > 用戶端管理.
  3. 點選 設定 接著點選 行為監控設定.

  4. 勾選複選框 啟用惡意程式行為封鎖服務 接著 從要阻止的威脅旁邊的下拉列表中選擇 已知和潛在威脅

    • 保護檔案避免受未經授權的加密或修改,並自動備份由可疑程序更改的文件
    • 阻止通常與勒索軟體相關的程序
    • 啟用程序檢查以檢測和阻止受損的可執行文件
    • 終止表現出與漏洞利用攻擊相關的異常行為的程序。

  5. 在新發現的程式下:

     
    此通知要求管理員啟用即時掃瞄和網頁信譽評等服務。
     
    • 勾選監控新遇到的通過 HTTP 或電子郵件應用程序下載的程序的複選框。

    • 從下拉菜單中選擇提示用戶。

      Behavior Monitoring Service

  6. 要在桌面和伺服器平台上啟用未經授權的更改預防服務:

    1. 選擇 Apex One 網域
    2. 點選 設定 接著點選 其他服務設定.
    3. 在 未經授權的變更阻止服務務下,勾選以啟用Windows 桌面和Windows Server 平台。.

  7. 點選 儲存 以部署更改。

  1. 登錄 Apex One 管理 Web 控制台。
  2. 用戶端 > 用戶端管理.
  3. 從 Apex One 伺服器清單中點選 Apex One 網域。
  4. 點選 設定 接著點選 其他服務設定 > 進階防護服務.

  5. 勾選以啟用 Windows 桌面Windows Server 平台

    Browser Exploit Solutions

  6. 點選 儲存 以部署更改。

  1. 登錄 Apex One 管理 Web 控制台。
  2. 用戶端 > 用戶端管理.
  3. 從 Apex One 伺服器清單中點選 Apex One 網域。
  4. 點選 設定 接著點選 其他服務設定 > 可疑連線服務.

  5. 勾選以啟用 Windows 桌面Windows Server 平台

    Suspicious Connection Settings

  6. 點選 儲存 以部署更改。
  7. 接著設定 可疑連線設定.
  8. 從 Apex One 伺服器清單中點選 Apex One 網域。
  9. 點選 設定 接著點選 可疑連線設定.

  10. 勾選以下複選框:

    • 檢測對全域 C&C 列表中的地址進行的網絡連接。從下拉列表和日誌中選擇“阻止”並允許訪問用戶定義的阻止 IP 列表地址。使用惡意軟體網絡指紋檢測連接。從下拉列表中選擇阻止並在檢測到 C&C 回調時清除可疑連接。.

    Suspicious Connection Settings

對於 OfficeScan XG:

  1. 登錄 OfficeScan 管理 Web 控制台。
  2. 用戶端 > 用戶端管理.
  3. 點選 設定 接著點選 網頁信譽評等服務設定.

  4. On the 內部用戶端 勾選 啟動網頁信譽評等於以下作業系統環境。 選擇以下內容;

    • 選擇 Windows 桌面和伺服器平台
    • 檢查 HTTPS URL

    • 向雲端掃瞄伺服器進行查詢

      Internal Agents

    • 點選 套用設定至 所有用戶端
  • 在伺服器平台端點上啟用網頁信譽評等服務:
    1. 選擇安裝在 Windows Server 平台上的所需 OfficeScan 用戶端。
    2. 重複步驟 3 和 4.
     
    您必須一次性的在 Windows Server 平台上運行的OfficeScan用戶端配置和部署網頁信譽評等策略。
     

    WRS

  • 點選 儲存 以部署更改。

    1. 登錄 OfficeScan 管理 Web 控制台。
    2. 用戶端 > 用戶端管理.
    3. 點選 設定 接著點選 行為監控設定.

    4. 勾選複選框 啟用惡意程式行為封鎖服務 接著 從要阻止的威脅旁邊的下拉列表中選擇 已知和潛在威脅

      • 保護檔案免受未經授權的加密或修改,並自動備份由可疑程序更改的文件
      • 阻止通常與勒索軟體相關的程序
      • 啟用程序檢查以檢測和阻止受損的可執行文件
      • 終止表現出與漏洞利用攻擊相關的異常行為的程序。

    5. 在新發現的程式下:

      • 勾選監控新遇到的通過 HTTP 或電子郵件應用程序下載的程序的複選框。

      • 從下拉菜單中選擇提示用戶。

         
        您必須在用戶端上啟用網頁信譽服務以允許OfficeScan掃描 HTTP 流量。
         
      • 在伺服器平台端點上啟用阻止未經授權變更服務:
        1. 選擇安裝在 Windows Server 平台上的所需OfficeScan用戶端。
        2. 點選 設定 接著點選 其他服務設定.
        3. 勾選 "在以下作業系統上啟用服務".

          Unauthorized Change Prevention Service

        4. 重複步驟 3 到 6.

          Behavior Monitoring

      • 點選 儲存 以部署更改。
 
行為監控不支援如 UI 所述的某些 Windows 平台。
 

  1. 登錄 OfficeScan 管理 Web 控制台。
  2. 用戶端 > 用戶端管理.
  3. 從 OfficeScan 伺服器清單中點選 OfficeScan 網域。
  4. 點選 設定 接著點選 其他服務設定 > 進階防護服務.

  5. 勾選以啟用勾選“在以下作業系統上啟用服務”複選框。

    Advanced Protection Services

  6. 點選套用至所有用戶端
  • 在伺服器平台端點上啟用瀏覽器漏洞利用解決方案:
    1. 用戶端 > 用戶端管理.
    2. 選擇安裝在 Windows Server 平台上的所需OfficeScan用戶端。
    3. 點選 設定.
    4. 其他服務設定 > 進階防護服務.
    5. 勾選“在以下作業系統上啟用服務”複選框。

    6. enable Browser Exploit Solution

    7. 點選 儲存 以套用變更設定。
  • 用戶端 > 用戶端管理.
  • 點選 設定 > 網頁信譽評等設定.
  • 轉到瀏覽器漏洞利用防護部分並啟用“阻止包含惡意腳本的頁面”。

    Block pages containing malicious script

  • 點選 儲存 以套用變更設定。

  1. 登錄 OfficeScan 管理 Web 控制台。
  2. 用戶端 > 用戶端管理.
  3. 從 OfficeScan 伺服器清單中點選 OfficeScan 網域。
  4. 點選 設定 接著點選 其他服務設定 > 可疑連線服務.

  5. 勾選可疑連接服務下的“在以下作業系統上啟用服務”複選框。

    Suspicious Connection Service

  6. 點選 套用至所有用戶端 以套用變更設定。
  7. 用戶端 > 用戶端管理 > 可疑連線設定.
  8. 勾選以下複選框:
    1. “檢測對全域 C&C 列表中的地址進行的網絡連接”。從下拉列表中選擇“阻止”和“記錄並允許訪問用戶定義的阻止 IP 列表地址”。
    2. “使用惡意軟體網絡指紋檢測連接”。從下拉列表中選擇“阻止”和“檢測到 C&C 回調時清除可疑連接”。

    Suspicious Connection Settings

  9. 點選 套用至所有用戶端 以套用變更設定。
  10. 在 Windows Server 平台上啟用可疑連線策略:
    1. 選擇安裝在 Windows Server 平台上的所需OfficeScan用戶端。
    2. 重複步驟 3 到 5。

    Suspicious Connection policies

  11. 點選 儲存 以套用變更設定。
關鍵字: ransomware,crpto,cryptoward,cryptowall,crypto ransomware,encrpyt,computer hostage,class of malware,pay ransom,CryptoLocker,ransomware protection,enabling ransomware protection,blocking distribution of executable files,monitoring suspicious file,blocking 勒贖 勒索

在 TrendMicro Apex One 和OfficeScan (OSCE) 中啟用勒索病毒防護功能

產品/版本:

更新於:   2024/08/30
文章ID:   KA-0005453
類別:  

概要

勒索軟體是一種惡意軟體,它會加密目標端點,直到受害者支付“贖金”。這種威脅正在上升,趨勢科技正在加強其保護和檢測。OfficeScan的新方法是查找勒索軟體行為,因此它不完全依賴於簽名或特定的刪除工具。它監控端點上的任何可疑文件加密活動,並通過終止或隔離進程來阻止它們。

典型的勒索軟體會搜索具有特定文件副檔名的系統文件,並通過正常的文件操作對其進行加密。

Encrypted attack

趨勢科技建議啟用適當的設置以獲得最佳的勒索病毒防護

對於 Apex One:

  1. 登錄 Apex One 管理 Web 控制台。
  2. 用戶端 > 用戶端管理.
  3. 從 Apex One 伺服器清單中點選 Apex One 網域。
  4. 點選 設定 接著點選 Machine Learning 設定。
  5. 勾選 啟動 Predictive Machine Learning.

  6. 在檢測設置下,啟用以下內容:

    • 文件類型將操作設置為隔離

    • 程序類型設置要終止的操作

      Predictive Machine Learning

  7. 點選 儲存 以部署更改。

  1. 登錄 Apex One 管理 Web 控制台。
  2. 用戶端 > 用戶端管理.
  3. 點選 設定 接著點選 網頁信譽評等服務設定.

  4. On the 內部用戶端 勾選 啟動網頁信譽評等於以下作業系統環境。 選擇以下內容;

    • 選擇 Windows 桌面和伺服器平台
    • 檢查 HTTPS URL

    • 向雲端掃瞄伺服器進行查詢

      Web Reputation Service

  5. 點選 套用設定至 所有用戶端

  1. 登錄 Apex One 管理 Web 控制台。
  2. 用戶端 > 用戶端管理.
  3. 點選 設定 接著點選 行為監控設定.

  4. 勾選複選框 啟用惡意程式行為封鎖服務 接著 從要阻止的威脅旁邊的下拉列表中選擇 已知和潛在威脅

    • 保護檔案避免受未經授權的加密或修改,並自動備份由可疑程序更改的文件
    • 阻止通常與勒索軟體相關的程序
    • 啟用程序檢查以檢測和阻止受損的可執行文件
    • 終止表現出與漏洞利用攻擊相關的異常行為的程序。

  5. 在新發現的程式下:

     
    此通知要求管理員啟用即時掃瞄和網頁信譽評等服務。
     
    • 勾選監控新遇到的通過 HTTP 或電子郵件應用程序下載的程序的複選框。

    • 從下拉菜單中選擇提示用戶。

      Behavior Monitoring Service

  6. 要在桌面和伺服器平台上啟用未經授權的更改預防服務:

    1. 選擇 Apex One 網域
    2. 點選 設定 接著點選 其他服務設定.
    3. 在 未經授權的變更阻止服務務下,勾選以啟用Windows 桌面和Windows Server 平台。.

  7. 點選 儲存 以部署更改。

  1. 登錄 Apex One 管理 Web 控制台。
  2. 用戶端 > 用戶端管理.
  3. 從 Apex One 伺服器清單中點選 Apex One 網域。
  4. 點選 設定 接著點選 其他服務設定 > 進階防護服務.

  5. 勾選以啟用 Windows 桌面Windows Server 平台

    Browser Exploit Solutions

  6. 點選 儲存 以部署更改。

  1. 登錄 Apex One 管理 Web 控制台。
  2. 用戶端 > 用戶端管理.
  3. 從 Apex One 伺服器清單中點選 Apex One 網域。
  4. 點選 設定 接著點選 其他服務設定 > 可疑連線服務.

  5. 勾選以啟用 Windows 桌面Windows Server 平台

    Suspicious Connection Settings

  6. 點選 儲存 以部署更改。
  7. 接著設定 可疑連線設定.
  8. 從 Apex One 伺服器清單中點選 Apex One 網域。
  9. 點選 設定 接著點選 可疑連線設定.

  10. 勾選以下複選框:

    • 檢測對全域 C&C 列表中的地址進行的網絡連接。從下拉列表和日誌中選擇“阻止”並允許訪問用戶定義的阻止 IP 列表地址。使用惡意軟體網絡指紋檢測連接。從下拉列表中選擇阻止並在檢測到 C&C 回調時清除可疑連接。.

    Suspicious Connection Settings

對於 OfficeScan XG:

  1. 登錄 OfficeScan 管理 Web 控制台。
  2. 用戶端 > 用戶端管理.
  3. 點選 設定 接著點選 網頁信譽評等服務設定.

  4. On the 內部用戶端 勾選 啟動網頁信譽評等於以下作業系統環境。 選擇以下內容;

    • 選擇 Windows 桌面和伺服器平台
    • 檢查 HTTPS URL

    • 向雲端掃瞄伺服器進行查詢

      Internal Agents

    • 點選 套用設定至 所有用戶端
  • 在伺服器平台端點上啟用網頁信譽評等服務:
    1. 選擇安裝在 Windows Server 平台上的所需 OfficeScan 用戶端。
    2. 重複步驟 3 和 4.
     
    您必須一次性的在 Windows Server 平台上運行的OfficeScan用戶端配置和部署網頁信譽評等策略。
     

    WRS

  • 點選 儲存 以部署更改。

    1. 登錄 OfficeScan 管理 Web 控制台。
    2. 用戶端 > 用戶端管理.
    3. 點選 設定 接著點選 行為監控設定.

    4. 勾選複選框 啟用惡意程式行為封鎖服務 接著 從要阻止的威脅旁邊的下拉列表中選擇 已知和潛在威脅

      • 保護檔案免受未經授權的加密或修改,並自動備份由可疑程序更改的文件
      • 阻止通常與勒索軟體相關的程序
      • 啟用程序檢查以檢測和阻止受損的可執行文件
      • 終止表現出與漏洞利用攻擊相關的異常行為的程序。

    5. 在新發現的程式下:

      • 勾選監控新遇到的通過 HTTP 或電子郵件應用程序下載的程序的複選框。

      • 從下拉菜單中選擇提示用戶。

         
        您必須在用戶端上啟用網頁信譽服務以允許OfficeScan掃描 HTTP 流量。
         
      • 在伺服器平台端點上啟用阻止未經授權變更服務:
        1. 選擇安裝在 Windows Server 平台上的所需OfficeScan用戶端。
        2. 點選 設定 接著點選 其他服務設定.
        3. 勾選 "在以下作業系統上啟用服務".

          Unauthorized Change Prevention Service

        4. 重複步驟 3 到 6.

          Behavior Monitoring

      • 點選 儲存 以部署更改。
 
行為監控不支援如 UI 所述的某些 Windows 平台。
 

  1. 登錄 OfficeScan 管理 Web 控制台。
  2. 用戶端 > 用戶端管理.
  3. 從 OfficeScan 伺服器清單中點選 OfficeScan 網域。
  4. 點選 設定 接著點選 其他服務設定 > 進階防護服務.

  5. 勾選以啟用勾選“在以下作業系統上啟用服務”複選框。

    Advanced Protection Services

  6. 點選套用至所有用戶端
  • 在伺服器平台端點上啟用瀏覽器漏洞利用解決方案:
    1. 用戶端 > 用戶端管理.
    2. 選擇安裝在 Windows Server 平台上的所需OfficeScan用戶端。
    3. 點選 設定.
    4. 其他服務設定 > 進階防護服務.
    5. 勾選“在以下作業系統上啟用服務”複選框。

    6. enable Browser Exploit Solution

    7. 點選 儲存 以套用變更設定。
  • 用戶端 > 用戶端管理.
  • 點選 設定 > 網頁信譽評等設定.
  • 轉到瀏覽器漏洞利用防護部分並啟用“阻止包含惡意腳本的頁面”。

    Block pages containing malicious script

  • 點選 儲存 以套用變更設定。

  1. 登錄 OfficeScan 管理 Web 控制台。
  2. 用戶端 > 用戶端管理.
  3. 從 OfficeScan 伺服器清單中點選 OfficeScan 網域。
  4. 點選 設定 接著點選 其他服務設定 > 可疑連線服務.

  5. 勾選可疑連接服務下的“在以下作業系統上啟用服務”複選框。

    Suspicious Connection Service

  6. 點選 套用至所有用戶端 以套用變更設定。
  7. 用戶端 > 用戶端管理 > 可疑連線設定.
  8. 勾選以下複選框:
    1. “檢測對全域 C&C 列表中的地址進行的網絡連接”。從下拉列表中選擇“阻止”和“記錄並允許訪問用戶定義的阻止 IP 列表地址”。
    2. “使用惡意軟體網絡指紋檢測連接”。從下拉列表中選擇“阻止”和“檢測到 C&C 回調時清除可疑連接”。

    Suspicious Connection Settings

  9. 點選 套用至所有用戶端 以套用變更設定。
  10. 在 Windows Server 平台上啟用可疑連線策略:
    1. 選擇安裝在 Windows Server 平台上的所需OfficeScan用戶端。
    2. 重複步驟 3 到 5。

    Suspicious Connection policies

  11. 點選 儲存 以套用變更設定。