可使用 Control Manager/Apex Central 設定 User-Defined Suspicious Object/自訂情報 (UDSO),其他趨勢科技產品會同步 UDSO 的 SHA-1 ,並對於個各個產品有相對應的偵測機制。
另一種設定方式為使用 Apex One 的 Application Control。
以下產品可從 Control Manager/Apex Central 同步 SHA-1 的 User-Defined Suspicious Object/自訂情報 (UDSO):
- Interscan Web Security Virtual Appliance (IWSVA)
- Endpoint Application Control (EAC)
- Deep Discovery Inspector (DDI)
- Deep Discovery Email Inspector (DDEI)
- Apex One (requires Application Control)
以下產品不會從 Control Manager/Apex Central 同步 SHA-1 的 User-Defined Suspicious Object/自訂情報 (UDSO):
- OfficeScan
- Deep Security
- Deep Discovery Analyzer (DDAn)
- Smart Protection Server (SPS)
- Interscan Messaging Security Virtual Appliance (IMSVA)
要設定 SHA-1 進行阻擋,請參考以下方式:
要使用 Control Manager 設定 SHA-1 進行阻擋,請執行以下步驟:
- 登入 Trend Micro Control Manager。
- 移動至 Administration > Suspicious Objects > User-Defined Suspicious Objects。
- 按下 Add。
- Type 選擇 File SHA-1。
- 輸入 SHA-1 的值並設定 scan action:
- Log
- Block
- Quarantine
- 按下 Add。
1. Click 新增。
3. 登入 Trend Micro Apex Central。
4. 移動至 安全威脅資訊> 自訂情報> 使用者定義的可疑物件。
2. 類型選擇檔案 SHA-1,輸入 SHA-1 的值並設定 中毒處理行動。
4. 移動至 安全威脅資訊> 自訂情報> 使用者定義的可疑物件。
- Log
- Block
新增Application Control 條件
按下 新增條件 > 封鎖。
選擇輸入SHA-1 / SHA-256,完成後按下 儲存。
※啟動評估模式,請依實際環境狀況判斷是否需要開啟
新增 Application Control 條件
- 登入 Trend Micro Apex Central。
- 移動至 策略 > 策略資源 > Application Control 條件。
- 按下 新增條件 > 封鎖。
- 輸入名稱。
- 比對方法 選擇 雜湊值。
- 移動至 策略> 策略管理。
- 選擇要設定的策略。
- 檢視 Application Control 設定,若環境中有使用 Active Directory 同步處理,可以設定 指派規則,若無,請選擇 所有使用者帳號。
-
選擇對應的 Application Control 條件。
- 按下 確定後按下部署。
Application Control 阻擋有其功能限制,僅支援 Portable Executable (PE),支援的 PE 格式副檔名如下:acm, .ax, .cpl, .dll, .drv, .efi, .exe, .mui, .ocx, .scr, .sys, .tsp