在安装及使用本软件之前,请阅读自述文件、发布说明和最新版本的适用用户文档,这些文档可以通过趋势科技的以下Web站点获得: / TrendMicro、TrendMicrot-球徽标、DeepSecurity、ControlServerPlug-in、DamageCleanupServices、eServerPlug-in、InterScan、NetworkVirusWall、ScanMail、ServerProtect和TrendLabs是趋势科技(中国)有限公司/TrendMicroIncorporated的商标或注册商标。
所有其他产品或公司名称可能是其各自所有者的商标或注册商标。
文档版本:1.1文档编号:APCM97016/150706发布日期:2015年8月文档生成时间:Oct13,2015(11:37:46) 目录 趋势科技服务器深度安全防护系统管理中心控制台.................................................
7
警报......................................................................................................................
事件和报告................................................................................................................
9 系统事件
............................................................................................................
10防恶意软件事件......................................................................................................
12 隔离的文件......................................................................................................
15Web信誉事件........................................................................................................
18防火墙事件..........................................................................................................
20入侵防御事件........................................................................................................
23完整性监控事件......................................................................................................
26日志审查事件........................................................................................................
28生成报告............................................................................................................
31计算机...................................................................................................................
34策略.....................................................................................................................
43策略................................................................................................................
44通用对象............................................................................................................
45 目录列表....................................................................................................
46文件扩展名列表..............................................................................................
49文件列表....................................................................................................
50IP列表.....................................................................................................
53MAC列表....................................................................................................
54端口列表....................................................................................................
55时间表......................................................................................................
56标记........................................................................................................
57上下文......................................................................................................
58防火墙状态配置..............................................................................................
60恶意软件扫描配置............................................................................................
64防火墙规则..................................................................................................
71入侵防御规则................................................................................................
75 应用程序类型............................................................................................
78完整性监控规则..............................................................................................
80日志审查规则................................................................................................
84计算机和策略编辑器.......................................................................................................
87 概述(策略编辑器)..................................................................................................
88常规............................................................................................................
89使用此策略的计算机..............................................................................................
90事件............................................................................................................
91 概述(计算机编辑器)................................................................................................
93常规............................................................................................................
94操作............................................................................................................
97TPM.............................................................................................................
99事件...........................................................................................................
100 防恶意软件.........................................................................................................
102常规...........................................................................................................
103云安全智能防护.................................................................................................
105高级...........................................................................................................
106隔离的文件.....................................................................................................
108事件...........................................................................................................
109 Web信誉...........................................................................................................
110常规...........................................................................................................
111云安全智能防护.................................................................................................
112高级...........................................................................................................
113例外...........................................................................................................
114事件...........................................................................................................
115 防火墙.............................................................................................................
116常规...........................................................................................................
117接口隔离.......................................................................................................
118侦察...........................................................................................................
119高级...........................................................................................................
121事件...........................................................................................................
122 入侵防御...........................................................................................................
123常规...........................................................................................................
124高级...........................................................................................................
125事件...........................................................................................................
127 完整性监控.........................................................................................................
128常规...........................................................................................................
129高级...........................................................................................................
130事件...........................................................................................................
131 日志审查...........................................................................................................
132常规...........................................................................................................
133 高级...........................................................................................................
134事件...........................................................................................................
135SAP................................................................................................................
136接口/接口类型......................................................................................................
137设置...............................................................................................................
138计算机.........................................................................................................
139网络引擎.......................................................................................................
142扫描...........................................................................................................
147SIEM...........................................................................................................
148更新(仅限计算机编辑器)...........................................................................................
149覆盖...............................................................................................................
150管理....................................................................................................................
151系统设置...........................................................................................................
152租户...........................................................................................................
153客户端.........................................................................................................
156警报...........................................................................................................
158上下文.........................................................................................................
159SIEM...........................................................................................................
160SNMP...........................................................................................................
161排序...........................................................................................................
162系统事件.......................................................................................................
164安全...........................................................................................................
165更新...........................................................................................................
167智能反馈.......................................................................................................
169SMTP...........................................................................................................
170存储...........................................................................................................
171代理...........................................................................................................
172高级...........................................................................................................
173预设任务...........................................................................................................
176基于事件的任务.....................................................................................................
178管理中心节点.......................................................................................................
181管理中心节点.........................................................................................................
0租户...............................................................................................................
183使用授权...........................................................................................................
184用户...............................................................................................................
185角色...............................................................................................................
188联系人.............................................................................................................
192系统信息...........................................................................................................
193 更新...............................................................................................................
194安全更新.......................................................................................................
195规则.......................................................................................................
197特征码.....................................................................................................
199软件更新概述...................................................................................................
200下载专区..................................................................................................
201本地软件...................................................................................................
202中继组.........................................................................................................
205 趋势科技服务器深度安全防护系统管理中心控制台 趋势科技服务器深度安全防护系统管理中心9.6用户界面 警报 警报 警报页面会显示所有活动警报。警报以摘要视图(将类似警报分组显示)显示,或以列表视图(逐一列出每个警报)显示。
要在两个视图之间切换,请使用页面标题中“警报”旁边的下拉菜单。
在摘要视图中,展开警报面板(单击“显示详细信息”)可显示生成该特定警报的所有计算机(和/或用户)。
(单击计算机将会显示计算机的详细信息窗口。
) 在“摘要视图”中,如果计算机列表中的计算机超过五个,则第五个计算机后面会出现省略号("...")。
单击省略号可显示完整列表。
采取适当的操作处理警报后,选中警报目标旁边的复选框,然后单击解除链接,即可解除警报。
(在“列表视图”中,右键单击警报即可查看上下文菜单中的选项列表。
) 无法解除的警报(如“中继更新服务不可用”)将在条件不存在时自动解除。
如果警报条件在同一计算机上多次出现,则警报将显示条件第一次出现的时间戳。
如果警报解除后条件重新出现,则第一
次出现的时间戳将消失。
警报有两种:系统警报和安全警报。
系统警报由系统事件(客户端脱机、计算机上的时钟更改等)触发。
安全警报由入侵防御规则、防火墙规则、完整性监控规则、日志审查规则和防恶意软件规则触发。
可以通过单击配置警报...来配置警报。
(). 注意:使用计算机过滤栏,可以只查看在特定计算机组中、具有特定策略等计算机的警报。
8 趋势科技服务器深度安全防护系统管理中心9.6用户界面 事件和报告 “事件和报告”部分提供了以下页面:•系统事件(第10页)•防恶意软件事件(第12页)◦隔离的文件(第15页)•Web信誉事件(第18页)•防火墙事件(第20页)•入侵防御事件(第23页)•完整性监控事件(第26页)•日志审查事件(第28页)•生成报告(第31页) 事件和报告
9 趋势科技服务器深度安全防护系统管理中心9.6用户界面 系统事件 系统事件 系统事件日志是系统相关事件的记录(相对于安全相关事件)。
在主页面上可以执行下列操作:•查看()系统事件的详细信息(属性)•搜索()特定系统事件•将当前显示的系统事件导出()为CSV文件•查看现有的自动标记()规则。
另外,右键单击事件可提供下列选项:•添加标记:为此事件添加事件标记(请参阅事件标记。
)•移除标记:移除现有事件标记 查看 选择某个事件并单击查看()会显示事件查看程序属性窗口。
常规 常规信息•时间:以托管趋势科技服务器深度安全防护系统管理中心的计算机的系统时钟为准的时间。
•级别:发生事件的严重性级别。
事件级别包括信息、警告及错误。
•事件ID:事件类型的唯一标识符。
•事件:事件的名称(与事件ID相关联)。
•标记:附加到事件的任何标记。
•事件来源:事件源自的趋势科技服务器深度安全防护系统组件。
•目标:与事件有关联的系统对象将在此处标识。
单击对象的标识将显示对象的属性表。
•操作执行者:如果事件由用户启动,则会在此处显示该用户的用户名。
单击该用户名将显示用户属性窗口。
•管理中心:趋势科技服务器深度安全防护系统管理中心计算机的主机名。
描述如果合适,此处会显示执行何种操作以在系统事件日志中触发此条目的特定详细信息。
标记 标记选项卡显示已附加到此事件的标记。
有关事件标记的更多信息,请参阅策略>通用对象>其他>标记,以及参考部分的关于事件标记的更多信息。
10 趋势科技服务器深度安全防护系统管理中心9.6用户界面 过滤列表和/或搜索事件 使用期间工具栏可以过滤列表,从而只显示在特定时间范围内发生的事件。
使用计算机工具栏,可以按照计算机组或计算机策略来组织事件日志条目的显示。
单击高级搜索可选择是否显示搜索栏。
系统事件 按搜索栏右侧的“添加搜索栏”按钮(+)将显示另一个搜索栏,这样可将多个参数应用于搜索。
准备就绪后,按“提交请求”按钮(位于工具栏右侧,带右向箭头)。
高级搜索功能(搜索不区分大小写): •包含:选定列中的条目包含该搜索字符串•不包含:选定列中的条目不包含该搜索字符串•等于:选定列中的条目完全符合该搜索字符串•不等于:选定列中的条目并不完全符合该搜索字符串•在范围内:选定列中的条目与其中的一个逗号分隔的搜索字符串条目完全匹配•不在范围内:选定列中的条目并未与任意逗号分隔的搜索字符串条目完全匹配 导出 可以将显示的事件导出为CSV文件。
(将忽略分页,所有页面都将被导出。
)可以选择显示所显示的列表,也可以选择显示所选定的项目。
自动标记 单击自动标记...将显示现有系统事件自动标记规则的列表。
11 趋势科技服务器深度安全防护系统管理中心9.6用户界面 防恶意软件事件 防恶意软件事件 缺省情况下,启动每个波动信号时,趋势科技服务器深度安全防护系统管理中心会从客户端/设备中收集防恶意软件事件日志。
这些事件数据用于填充趋势科技服务器深度安全防护系统管理中心的各种报告、图形及图表。
趋势科技服务器深度安全防护系统管理中心收集事件后,会将这些事件保留一段时间,该时间可在管理>系统设置页面中的存储选项卡上设置。
缺省设置为一星期。
在主页面上可以执行下列操作: •查看()单个事件的属性。
•过滤列表。
使用期间和计算机工具栏来过滤事件列表。
•将事件列表数据导出()为CSV文件。
•查看现有的自动标记()规则。
•搜索()特定事件。
另外,右键单击事件可提供下列选项: •为此事件添加标记(请参阅事件标记。
)•从此事件中移除标记。
•查看生成日志条目的计算机的计算机详细信息窗口。
•查看与此事件相关联的文件的隔离文件详细信息。
(仅当与此事件相关联的处理措施为隔离时才可用。
) 防恶意软件事件显示的列: •时间:计算机上发生事件的时间。
•计算机:记录此事件的计算机。
(如果已移除此计算机,此条目会显示为“未知计算机”。
)•受感染的文件:受感染文件的位置和名称。
•标记:与此事件关联的事件标记。
•恶意软件:找到的恶意软件的名称。
•扫描类型:找到恶意软件的扫描类型(实时、预设或手动)。
•采取的操作:显示与事件关联的恶意软件扫描配置中指定的处理措施的结果。
◦已清除:趋势科技服务器深度安全防护系统成功终止了进程或删除了注册表、文件、cookie或快捷方式,具体取决于恶意软件的类型。
◦清除不成功:因各种可能的原因而无法清除恶意软件。
◦已删除:已删除受感染文件。
◦删除不成功:因各种可能的原因而无法删除受感染文件。
例如,文件可能由其他应用程序锁定、文件 位于CD上或者正在使用中。
如果可能,趋势科技服务器深度安全防护系统会在受感染文件被释放后立即将其删除。
◦已隔离:已将受感染文件移动到隔离文件夹中。
◦隔离不成功:因各种可能的原因而无法隔离受感染文件。
例如,文件可能由其他应用程序锁定、文件位于CD上或者正在使用中。
如果可能,趋势科技服务器深度安全防护系统会在受感染文件被释放后 12 趋势科技服务器深度安全防护系统管理中心9.6用户界面 防恶意软件事件 立即将其隔离。
也有可能是已超过了“用于存储隔离文件的最大磁盘空间”(在策略/计算机编辑器>防恶意软件>高级选项卡上指定此值)。
◦拒绝访问:趋势科技服务器深度安全防护系统已阻止对受感染文件进行访问,而未将文件从系统中移除。
◦未处理:趋势科技服务器深度安全防护系统未采取任何处理措施,但记录了对恶意软件的检测。
•事件来源:指明事件来源于趋势科技服务器深度安全防护系统的哪个部分。
•原因:检测到恶意软件时生效的恶意软件扫描配置。
•主要病毒类型:检测到的恶意软件的类型。
可能的值有:恶作剧程序、特洛伊木马、病毒、测试程序、间谍软件、加壳软件、常规或其他。
有关这些恶意软件类型的信息,请参阅防恶意软件事件的详细信息或防恶意软件。
查看事件属性 双击某个事件(或从上下文菜单中选择查看)会显示该条目的属性窗口,这样将在一个页面上显示该事件的所有信息。
标
记选项卡显示已附加到此事件的标记。
有关事件标记的更多信息,请参阅策略>通用对象>其他>标记,以及参考部分中的事件标记。
过滤列表和/或搜索事件 从“搜索”下拉菜单中选择“打开高级搜索”,可选择是否显示高级搜索选项。
使用期间工具栏可以过滤列表,从而只显示在特定时间范围内发生的事件。
使用计算机工具栏,可以按照计算机组或计算机策略来组织事件日志条目的显示。
高级搜索功能(搜索不区分大小写):•包含:选定列中的条目包含该搜索字符串•不包含:选定列中的条目不包含该搜索字符串•等于:选定列中的条目完全符合该搜索字符串•不等于:选定列中的条目并不完全符合该搜索字符串•在范围内:选定列中的条目与其中的一个逗号分隔的搜索字符串条目完全匹配•不在范围内:选定列中的条目并未与任意逗号分隔的搜索字符串条目完全匹配 按搜索栏右侧的“加号”按钮(+)将显示另一个搜索栏,这样可将多个参数应用于搜索。
准备就绪后,按“提交”按钮(位于工具栏右侧,带右向箭头)。
导出 单击导出...,可将所有或选定的事件导出为CSV文件。
13 趋势科技服务器深度安全防护系统管理中心9.6用户界面 自动标记... 单击自动标记...将显示现有防恶意软件自动标记规则的列表。
防恶意软件事件 14 趋势科技服务器深度安全防护系统管理中心9.6用户界面 隔离的文件 隔离的文件 隔离的文件是已查明为(或包含)恶意软件且因此已进行加密并移动到特殊文件夹中的文件。
(“隔离”是一种可以在创建恶意软件扫描配置时指定的扫描处理措施。
)已标识和隔离文件后,您可以选择以加密和压缩格式将文件下载到计算机上。
是否隔离受感染文件取决于扫描文件时生效的防恶意软件配置。
注意:将隔离的文件下载到计算机后,隔离的文件向导将显示指向管理工具的链接,您可以使用管理工具解密、检查和恢复文件。
为存储隔离文件设置了有限的磁盘空间。
该空间容量可在策略/计算机编辑器>防恶意软件>高级>隔离的文件中进行配置。
当没有足够空间可用于隔离可疑文件时会引发警报。
如果使用趋势科技服务器深度安全防护系统虚拟设备为虚拟机提供保护,无客户端VM的所有隔离文件都将存储在虚拟设备上。
因此,您应该为虚拟设备上的隔离文件增加磁盘空间。
在以下情况下,将自动从虚拟设备删除隔离的文件: •如果VM经历vMotion,将从虚拟设备删除与该VM关联的隔离文件。
•如果从趋势科技服务器深度安全防护系统管理中心停用了VM,将从虚拟设备删除与该VM关联的隔离文件。
•如果从趋势科技服务器深度安全防护系统管理中心停用了虚拟设备,将删除该虚拟设备上存储的所有隔离文件。
•如果从vCenter删除虚拟设备,也将删除存储在该虚拟设备上的所有隔离文件。
通过防恶意软件隔离的文件页面,可以管理隔离任务。
使用菜单栏或右键单击上下文菜单,您可以: •恢复...()将隔离文件恢复到其原始位置和状况。
•下载...()可将隔离文件从计算机或虚拟设备移动到选定位置。
•删除...()可从计算机或虚拟设备删除一个或多个隔离文件。
•将有关隔离文件(并非文件本身)的信息导出()为CSV文件。
•查看隔离文件的详细信息()。
•查看检测到恶意软件的计算机的计算机详细信息()窗口。
•查看防恶意软件事件...()显示与此隔离文件关联的防恶意软件事件。
•添加或删除列()通过单击添加/删除可添加或删除列。
•搜索()特定隔离文件。
详细信息 隔离文件详细信息窗口显示有关文件的更多信息,您可以将隔离文件下载到计算机或从其所在位置将其删除。
•检测时间:检测到感染的日期/时间(受感染计算机上)。
•受感染的文件:受感染文件的名称。
•恶意软件:找到的恶意软件的名称。
•扫描类型:指示恶意软件是由实时扫描、预设扫描还是手动扫描检测到的。
15 趋势科技服务器深度安全防护系统管理中心9.6用户界面 •采取的操作:检测到恶意软件时趋势科技服务器深度安全防护系统所采取的处理措施的结果。
•计算机:找到此文件的计算机。
(如果已移除此计算机,此条目会显示为“未知计算机”。
) 隔离的文件 过滤列表和/或搜索隔离文件 使用期间工具栏可以过滤列表,从而只显示在特定时间范围内隔离的文件。
使用计算机工具栏,可以按照计算机组或计算机策略来组织隔离文件条目的显示。
从“搜索”下拉菜单中选择“打开高级搜索”,可选择是否显示高级搜索选项: 高级搜索功能(搜索不区分大小写):•包含:选定列中的条目包含该搜索字符串。
•不包含:选定列中的条目不包含该搜索字符串。
•等于:选定列中的条目完全符合该搜索字符串。
•不等于:选定列中的条目并不完全符合该搜索字符串。
•在范围内:选定列中的条目与其中的一个逗号分隔的搜索字符串条目完全匹配。
•不在范围内:选定列中的条目并未与任何逗号分隔的搜索字符串条目完全匹配。
按搜索栏右侧的“加号”按钮(+)将显示另一个搜索栏,这样可将多个参数应用于搜索。
准备就绪后,按“提交”按钮(位于工具栏右侧,带右向箭头)。
•受感染文件:显示受感染文件的名称和特定安全风险。
•恶意软件:命名恶意软件感染。
•计算机:指明带有可疑感染的计算机的名称。
手动恢复隔离文件 要手动恢复隔离文件,必须使用隔离文件解密工具解密文件,然后将文件移回到原始位置。
解密工具位于zip文件QFAdminUtil_win32.zip中,该文件位于趋势科技服务器深度安全防护系统管理中心根目录下的"util"文件夹中。
该压缩文件包含两个执行相同功能的工具:QDecrypt.exe和。
运行QDecrypt.exe会调用打开文件对话框,通过该对话框可以选择要解密的文件。
是一个命令行工具,具有以下选项: •/h,--help:显示此帮助消息•--verbose:生成详细日志消息•/i,--in=
隔离的文件 17 趋势科技服务器深度安全防护系统管理中心9.6用户界面 Web信誉事件 Web信誉事件 缺省情况下,启动每个波动信号时,趋势科技服务器深度安全防护系统管理中心会从趋势科技服务器深度安全防护系统客户端/设备中收集Web信誉事件日志。
这些日志的数据将用于填充趋势科技服务器深度安全防护系统管理中心中的各种报告、图形及图表。
趋势科技服务器深度安全防护系统管理中心会将收集到的事件日志保留一段时间,该时间可在管理>系统设置>存储中设置。
缺省设置为一星期。
在主页面上可以执行下列操作: •查看()单个事件的属性•过滤列表:使用期间和计算机工具栏来过滤事件列表•将事件列表数据导出()为CSV文件•查看现有的自动标记()规则。
•搜索()特定事件 另外,右键单击事件可提供下列选项:•添加标记:为此事件添加事件标记(请参阅事件标记。
)•移除标记:移除现有事件标记•添加到允许列表():将触发此事件的URL添加到允许的URL列表。
(要查看或编辑允许和阻止列表,请转至Web信誉主页面的例外选项卡。
)•计算机详细信息:查看生成日志条目的计算机的“详细信息”窗口 用于Web信誉事件显示的列:•时间:计算机上发生事件的时间。
•计算机:记录此事件的计算机。
(如果已移除此计算机,此条目会显示为“未知计算机”。
)•URL:触发此事件的URL。
•标记:与此事件关联的事件标记。
•风险:触发此事件的URL的风险级别(“可疑”、“高度可疑”、“危险”、“未测试”或“已被管理员阻止”)。
•排序:排序提供了一种量化事件重要性的方法。
它通过将计算机的资产值与规则的严重性相乘得出。
(请参阅排序(第162页)。
)•事件来源:指明事件来源于趋势科技服务器深度安全防护系统的哪个部分。
查看事件属性 双击某个事件会显示该条目的属性窗口,这样将在一个页面上显示该事件的所有信息。
重新分类:如果您认为某个特定站点的站点安全评级或分类不正确,请通过位于的站点安全中心向趋势科技发送反馈。
18 趋势科技服务器深度安全防护系统管理中心9.6用户界面 Web信誉事件 添加到允许列表...:使用添加到允许列表...按钮可将此URL添加到允许的URL列表。
(要查看或编辑允许和阻止列表,请转至Web信誉主页面的例外选项卡。
) 标记选项卡显示已附加到此事件的标记。
有关事件标记的更多信息,请参阅策略>通用对象>其他>标记以及参考部分中的关于事件标记的更多信息。
过滤列表和/或搜索事件 从“搜索”下拉菜单中选择“打开高级搜索”,可选择是否显示高级搜索选项。
使用期间工具栏可以过滤列表,从而只显示在特定时间范围内发生的事件。
使用计算机工具栏,可以按照计算机组或计算机策略来组织事件日志条目的显示。
高级搜索功能(搜索不区分大小写):•包含:选定列中的条目包含该搜索字符串•不包含:选定列中的条目不包含该搜索字符串•等于:选定列中的条目完全符合该搜索字符串•不等于:选定列中的条目并不完全符合该搜索字符串•在范围内:选定列中的条目与其中的一个逗号分隔的搜索字符串条目完全匹配•不在范围内:选定列中的条目并未与任意逗号分隔的搜索字符串条目完全匹配 按搜索栏右侧的“加号”按钮(+)将显示另一个搜索栏,这样可将多个参数应用于搜索。
准备就绪后,按“提交”按钮(位于工具栏右侧,带右向箭头)。
导出 单击导出...按钮,可将所有或选定的事件导出为CSV文件。
自动标记 单击自动标记...将显示现有Web信誉自动标记规则的列表。
19 趋势科技服务器深度安全防护系统管理中心9.6用户界面 防火墙事件 防火墙事件 缺省情况下,启动每个波动信号时,趋势科技服务器深度安全防护系统管理中心会从趋势科技服务器深度安全防护系统客户端/设备中收集防火墙和入侵防御事件日志。
这些日志的数据将用于填充趋势科技服务器深度安全防护系统管理中心中的各种报告、图形及图表。
趋势科技服务器深度安全防护系统管理中心收集事件日志后,会将这些事件日志保留一段时间,该时间可在管理>系统设置>存储中设置。
缺省设置为一星期。
防火墙事件图标: • 单个事件 • 带有数据的单个事件 • 折叠事件 • 带有数据的折叠事件 注意:当多个相同类型事件连续发生时,事件发生折叠。
这样会节省磁盘空间,并防止企图使日志记录机制过载的DoS攻击。
在主页面上可以执行下列操作: •查看()单个事件的属性•过滤列表:使用期间和计算机工具栏来过滤事件列表•将事件列表数据导出()为CSV文件•查看现有的自动标记()规则。
•从“事件列表”视图中添加或删除列()。
•搜索()特定事件 另外,右键单击事件可提供下列选项:•添加标记:为此事件添加事件标记(请参阅事件标记。
)•移除标记:移除现有事件标记•计算机详细信息:查看生成日志条目的计算机的“详细信息”窗口 防火墙事件显示的列: •时间:计算机上发生事件的时间。
•计算机:记录此事件的计算机。
(如果已移除此计算机,此条目会显示为“未知计算机”。
)•原因:此页面上的日志条目是由防火墙规则设置还是由防火墙状态配置设置生成。
如果该条目按照防火墙规则生 成,列条目的开头会加上“防火墙规则:”,后面跟防火墙规则的名称。
否则,列条目会显示生成此日志条目的
“防火墙状态配置”设置。
(有关可能的数据包拒绝原因的列表,请参阅参考一节中的“数据包拒绝原因”。
)•标记:应用到此事件的事件标记。
•操作:防火墙规则或防火墙状态配置所采取的操作。
可能的操作有:允许、拒绝、强制允许和仅记录。
20 趋势科技服务器深度安全防护系统管理中心9.6用户界面 防火墙事件 •排序:排序系统提供一种方法来量化入侵防御和防火墙事件的重要性。
先为计算机分配“资产值”,并为入侵防御规则和防火墙规则分配“严重性值”,然后,将两个值相乘便可得出事件的重要性(“排序”)。
这样,您在查看入侵防御或防火墙事件时,就可以按“排序”来排列事件的顺序。
•方向:受影响数据包的方向(传入或传出)。
•接口:数据包所经过的接口的MAC地址。
•帧类型:所需数据包的帧类型。
可能的值有“IPV4”、“IPV6”、“ARP”、“REVARP”和“其他:XXXX”,其 中XXXX代表帧类型的四位数十六进制码。
•协议:可能的值有“ICMP”、“ICMPV6”、“IGMP”、“GGP”、“TCP”、“PUP”、“UDP”、“IDP”、 “ND”、“RAW”、“TCP+UDP”、及“其他:nnn”,其中,nnn
代表三位数的十进制值。
•标志:数据包中已设置的标志。
•源IP:数据包的源IP。
•源MAC:数据包的源MAC地址。
•源端口:数据包的源端口。
•目标IP:数据包的目标IP地址。
•目标MAC:数据包的目标MAC地址。
•目标端口:数据包的目标端口。
•数据包大小:数据包的大小(以字节为单位)。
•重复计数:连续重复事件的次数。
•时间(微秒):事件在计算机上的发生时间(微秒级)。
•事件来源:事件源自的趋势科技服务器深度安全防护系统组件。
注意: 如果所需数据包随后没有被拒绝规则或未允许该数据包的允许规则停止,则仅记录规则将只生成日志条目。
如果数据包被上述两种规则中的一种阻止,则这些规则(但不是仅记录规则)将生成日志条目。
如果没有后续规则停止数据包,则“仅记录”规则会生成条目。
查看事件属性 双击某个事件会显示该条目的属性窗口,这样将在一个页面上显示该事件的所有信息。
标记选项卡显示已附加到此事件的标记。
有关事件标记的更多信息,请参阅策略>通用对象>其他>标记,以及参考部分中的事件标记。
过滤列表和/或搜索事件 从“搜索”下拉菜单中选择“打开高级搜索”,可选择是否显示高级搜索选项。
使用期间工具栏可以过滤列表,从而只显示在特定时间范围内发生的事件。
使用计算机工具栏,可以按照计算机组或计算机策略来组织事件日志条目的显示。
21 趋势科技服务器深度安全防护系统管理中心9.6用户界面 防火墙事件 高级搜索功能(搜索不区分大小写):•包含:选定列中的条目包含该搜索字符串•不包含:选定列中的条目不包含该搜索字符串•等于:选定列中的条目完全符合该搜索字符串•不等于:选定列中的条目并不完全符合该搜索字符串•在范围内:选定列中的条目与其中的一个逗号分隔的搜索字符串条目完全匹配•不在范围内:选定列中的条目并未与任意逗号分隔的搜索字符串条目完全匹配 按搜索栏右侧的“加号”按钮(+)将显示另一个搜索栏,这样可将多个参数应用于搜索。
准备就绪后,按“提交”按钮(位于工具栏右侧,带右向箭头)。
导出 单击导出...按钮,可将所有或选定的事件导出为CSV文件。
自动标记 单击自动标记...将显示现有防火墙自动标记规则的列表。
22 趋势科技服务器深度安全防护系统管理中心9.6用户界面 入侵防御事件 入侵防御事件 缺省情况下,启动每个波动信号时,趋势科技服务器深度安全防护系统管理中心会从趋势科技服务器深度安全防护系统客户端/设备中收集防火墙和入侵防御事件日志。
趋势科技服务器深度安全防护系统管理中心收集事件日志后,会将这些事件日志保留一段时间,该时间可在管理>系统设置>存储中设置。
缺省设置为一星期。
在主页面上可以执行下列操作: •查看()单个事件的属性•过滤列表:使用期间和计算机工具栏来过滤事件列表•将事件日志数据导出()为CSV文件•查看现有的自动标记()规则。
•从“事件列表”视图中添加或删除列()。
•搜索()特定事件 另外,右键单击事件可提供下列选项: •全选:选择显示的所有事件,最多100个事件。
•将选定内容导出为CSV:创建列出了选定事件的详细信息的逗号分隔的文件。
然后可在电子表格中打开CSV文 件。
•查看:显示事件的详细信息•添加标记:为此事件添加事件标记(请参阅事件标记。
)•移除标记:移除现有事件标记•计算机详细信息:查看生成日志条目的计算机的“详细信息”窗口 入侵防御事件显示的列: •时间:计算机上发生事件的时间。
•计算机:记录此事件的计算机。
(如果已移除此计算机,此条目会显示为“未知计算机”。
)•原因:与此事件关联的入侵防御规则。
•标记:附加到事件的任何标记。
•应用程序类型:与引起此事件的入侵防御规则关联的应用程序类型。
•操作:入侵防御规则采取的操作(阻止或重置)。
如果规则处于仅检测模式下,则该操作的前缀为“仅检 测:”)。
注意: 在趋势科技服务器深度安全防护系统7.5SP1之前创建的入侵防御规则还可以执行“插入”、“替换”和“删除”操作。
现在不再执行这些操作。
如果旧版规则被触发并尝试执行这些操作,事件将指示该规则是在“仅检测”模式下应用的。
•排序:排序系统提供一种方法来量化入侵防御和防火墙事件的重要性。
先为计算机分配“资产值”,并为入侵防御规则和防火墙规则分配“严重性值”,然后,将两个值相乘便可得出事件的重要性(“排序”)。
这样,您在查看入侵防御或防火墙事件时,就可以按“排序”来排列事件的顺序。
23 趋势科技服务器深度安全防护系统管理中心9.6用户界面 入侵防御事件 •严重性:入侵防御规则的严重性值。
•方向:数据包的方向(传入或传出)•流:触发此事件的数据包按入侵防御规则监控的流量方向(“连接流”)还是按其反方向(“反向流”)进行传 递。
•接口:数据包所经过的接口的MAC地址。
•帧类型:所需数据包的帧类型。
可能的值有“IPV4”、“IPV6”、“ARP”、“REVARP”和“其他:XXXX”,其 中XXXX代表帧类型的四位数十六进制码。
•协议:可能的值有“ICMP”、“ICMPV6”、“IGMP”、“GGP”、“TCP”、“PUP”、“UDP”、“IDP”、 “ND”、“RAW”、“TCP+UDP”、及“其他:nnn”,其中,nnn
代表三位数的十进制值。
•标志:数据包中已设置的标志。
•源IP:数据包的源IP。
•源MAC:数据包的源MAC地址。
•源端口:数据包的源端口。
•目标IP:数据包的目标IP地址。
•目标MAC:数据包的目标MAC地址。
•目标端口:数据包的目标端口。
•数据包大小:数据包的大小(以字节为单位)。
•重复计数:连续重复事件的次数。
•时间(微秒):事件在计算机上的发生时间(微秒级)。
•事件来源:事件源自的趋势科技服务器深度安全防护系统组件。
查看事件属性 双击某个事件可显示该条目的属性窗口。
标记选项卡显示已附加到此事件的标记。
有关事件标记的更多信息,请参阅策略>通用对象>其他>标记,以及参考部分中的事件标记。
过滤列表和/或搜索事件 从“搜索”下拉菜单中选择“打开高级搜索”,可选择是否显示高级搜索选项。
使用期间工具栏可以过滤列表,从而只显示在特定时间范围内发生的事件。
使用计算机工具栏,可以按照计算机组或计算机策略来组织事件日志条目的显示。
24 趋势科技服务器深度安全防护系统管理中心9.6用户界面 入侵防御事件 高级搜索功能(搜索不区分大小写): •包含:选定列中的条目包含该搜索字符串•不包含:选定列中的条目不包含该搜索字符串•等于:选定列中的条目完全符合该搜索字符串•不等于:选定列中的条目并不完全符合该搜索字符串•在范围内:选定列中的条目与其中的一个逗号分隔的搜索字符串条目完全匹配•不在范围内:选定列中的条目并未与任意逗号分隔的搜索字符串条目完全匹配 按搜索栏右侧的“加号”按钮(+)将显示另一个搜索栏,这样可将多个参数应用于搜索。
准备就绪后,按“提交”按钮(位于工具栏右侧,带右向箭头)。
导出 单击导出...按钮,可将所有事件日志条目导出为CSV文件。
自动标记 单击自动标记...将显示现有入侵防御自动标记规则的列表。
25 趋势科技服务器深度安全防护系统管理中心9.6用户界面 完整性监控事件 完整性监控事件 启动每个波动信号时,趋势科技服务器深度安全防护系统管理中心会从趋势科技服务器深度安全防护系统客户端中收集完整性监控事件。
这些日志的数据将用于填充趋势科技服务器深度安全防护系统管理中心中的各种报告、图形及图表。
趋势科技服务器深度安全防护系统管理中心收集事件日志后,会将这些事件日志保留一段时间,该时间可在管理>系统设置>存储中设置。
缺省设置为一星期。
在主页面上可以执行下列操作: •查看()单个事件的属性•过滤列表:使用期间和计算机工具栏来过滤事件列表•将事件列表数据导出()为CSV文件•添加自动标记规则•从“事件列表”视图中添加或删除列()。
•搜索()特定事件 另外,右键单击事件可提供下列选项:•添加标记:为此事件添加事件标记(请参阅事件标记。
)•移除标记:移除现有事件标记•计算机详细信息:查看生成日志条目的计算机的“详细信息”窗口•完整性监控规则属性:查看与此事件关联的完整性监控规则的属性 完整性监控事件显示的列:•时间:计算机上发生事件的时间。
•计算机:记录此事件的计算机。
(如果已移除此计算机,此条目会显示为“未知计算机”。
)•原因:与此事件关联的完整性监控规则。
•标记:应用到此事件的事件标记。
•更改:完整性规则检测到的更改。
可以为:“已创建”、“已更新”、“已删除”或“已更名”。
•排序:排序系统提供了一种量化事件重要性的方法。
先为计算机分配“资产值”,并为规则分配“严重性值”,然后,将两个值相乘便可得出事件的重要性(“排序”)。
这允许您按排序来排列事件的顺序。
•严重性:完整性监控规则的严重性值•类型:发生事件的实体类型•注册表项:发生事件的路径和文件名或注册表项•用户:文件所有者的用户ID•进程:发生事件的进程•事件来源:发生事件的趋势科技服务器深度安全防护系统组件 26 趋势科技服务器深度安全防护系统管理中心9.6用户界面 完整性监控事件 查看事件属性 双击某个事件会显示该条目的属性窗口,这样将在一个页面上显示该事件的所有信息。
标记选项卡显示已附加到此事件的标记。
有关事件标记的更多信息,请参阅策略>通用对象>其他>标记,以及参考部分中的事件标记。
过滤列表和/或搜索事件 使用期间工具栏可以过滤列表,从而只显示在特定时间范围内发生的事件。
使用计算机工具栏,可以按照计算机组或计算机策略来组织事件日志条目的显示。
使用“搜索”或“高级搜索”选项对显示的事件进行搜索、排序或过滤。
高级搜索功能(搜索不区分大小写):•包含:选定列中的条目包含该搜索字符串•不包含:选定列中的条目不包含该搜索字符串•等于:选定列中的条目完全符合该搜索字符串•不等于:选定列中的条目并不完全符合该搜索字符串•在范围内:选定列中的条目与其中的一个逗号分隔的搜索字符串条目完全匹配•不在范围内:选定列中的条目并未与任意逗号分隔的搜索字符串条目完全匹配 导出 单击导出...按钮,可将所有或选定的事件导出为CSV文件。
自动标记 单击自动标记...将显示现有完整性监控自动标记规则的列表。
27 趋势科技服务器深度安全防护系统管理中心9.6用户界面 日志审查事件 日志审查事件 启动每个波动信号时,趋势科技服务器深度安全防护系统管理中心会从趋势科技服务器深度安全防护系统客户端中收集日志审查事件。
这些日志的数据将用于填充趋势科技服务器深度安全防护系统管理中心中的各种报告、图形及图表。
趋势科技服务器深度安全防护系统管理中心会将收集到的事件日志保留一段时间,该时间可在管理>系统设置>存储中设置。
缺省设置为一星期。
在主页面上可以执行下列操作: •查看()单个事件的属性•搜索()特定事件•过滤列表:使用期间和计算机工具栏来过滤事件列表•查看现有的自动标记()规则。
•从“事件列表”视图中添加或删除列()。
•将事件列表数据导出()为CSV文件 另外,右键单击事件可提供下列选项:•添加标记:为此事件添加事件标记(请参阅事件标记。
)•移除标记:移除现有事件标记•计算机详细信息:查看生成日志条目的计算机的“详细信息”窗口•日志审查规则属性:查看与此事件关联的日志审查规则的属性 日志审查事件显示的列:•时间:计算机上发生事件的时间。
•计算机:记录此事件的计算机。
(如果已移除此计算机,此条目会显示为“未知计算机”。
)•原因:与此事件关联的日志审查规则。
•标记:附加到事件的任何标记。
•描述:规则的描述。
•排序:排序系统提供了一种量化事件重要性的方法。
先为计算机分配“资产值”,并为日志审查规则分配“严重性值”,然后,将两个值相乘便可得出事件的重要性(“排序”)。
这允许您按排序来排列事件的顺序。
•严重性:日志审查规则的严重性值。
•组:规则所属的组。
•程序名称:程序名称。
取自事件的syslog标头。
•事件:事件的名称。
•位置:日志的来源。
•源IP:数据包的源IP。
•源端口:数据包的源端口。
•目标IP:数据包的目标IP地址。
28 趋势科技服务器深度安全防护系统管理中心9.6用户界面 日志审查事件 •目标端口:数据包的目标端口。
•协议:可能的值有“ICMP”、“ICMPV6”、“IGMP”、“GGP”、“TCP”、“PUP”、“UDP”、“IDP”、 “ND”、“RAW”、“TCP+UDP”、及“其他:nnn”,其中,nnn
代表三位数的十进制值。
•操作:在事件内采取的操作•源用户:事件内的发起用户。
•目标用户:事件内的目标用户。
•事件主机名:事件源的主机名。
•ID:解码为来自事件的ID的任意ID。
•状态:事件内的已解码状态。
•命令:在事件内调用的命令。
•URL:事件内的URL。
•数据:从事件中提取的任意其他数据。
•系统名称:事件内的系统名称。
•匹配的规则:匹配的规则数目。
•事件来源:发生事件的趋势科技服务器深度安全防护系统组件。
查看事件属性 双击某个事件会显示该条目的属性窗口,这样将在一个页面上显示该事件的所有信息。
标记选项卡显示已附加到此事件的标记。
有关事件标记的更多信息,请参阅策略>通用对象>其他>标记以及参考部分中的事件标记。
过滤列表和/或搜索事件 使用期间工具栏可以过滤列表,从而只显示在特定时间范围内发生的事件。
使用计算机工具栏,可以按照计算机组或计算机策略来组织事件日志条目的显示。
使用“搜索”或“高级搜索”选项对显示的事件进行搜索、排序或过滤。
高级搜索功能(搜索不区分大小写):•包含:选定列中的条目包含该搜索字符串•不包含:选定列中的条目不包含该搜索字符串•等于:选定列中的条目完全符合该搜索字符串•不等于:选定列中的条目并不完全符合该搜索字符串 29 趋势科技服务器深度安全防护系统管理中心9.6用户界面 •在范围内:选定列中的条目与其中的一个逗号分隔的搜索字符串条目完全匹配•不在范围内:选定列中的条目并未与任意逗号分隔的搜索字符串条目完全匹配 日志审查事件 导出 单击导出...按钮,可将所有事件日志条目导出为CSV文件。
自动标记 单击自动标记...将显示现有日志审查自动标记规则的列表。
您可以使用自动标记来自动对日志审查组应用标记。
LI规则将组与规则中的标记关联。
例如:
在上述示例中,"authentication_ess"的友好名称为“认证成功”,"ount_changed"的友好名称为“帐户已更改”。
设置此复选框后,该友好名称将自动添加为该事件的标记。
如果触发了多个规则,则会有多个标记添加到事件。
30 趋势科技服务器深度安全防护系统管理中心9.6用户界面 生成报告 生成报告 趋势科技服务器深度安全防护系统管理中心可生成PDF或RTF格式的报告。
生成报告页面生成的大部分报告都含有可配置参数,如日期范围或按计算机组生成报告。
不适用于报告的参数选项将被禁用。
单个报告 报告 各个报告可以输出为PDF或RTF格式,“安全模块使用情况报告”除外,该报告输出为CSV文件。
可能会提供以下报告,具体取决于您使用的防护模块: •用户和联系人报告:用户和联系人的内容及活动详细信息•警报报告:最常见警报的列表•防恶意软件报告:前25台受感染的计算机的列表•攻击报告:包含分析活动的摘要表(按模式划分)•防火墙报告:防火墙规则和状态配置活动的记录•取证计算机审计报告:计算机上的客户端配置•计算机报告:“计算机”选项卡上列出的每个计算机的摘要•安全模块使用情况报告:防护模块的当前计算机使用情况•完整性监控基线报告:特定时间的主机基线,显示类型、密钥和指纹采集日期。
•完整性监控详细更改报告:有关检测到的更改的详细信息•完整性监控报告:检测到的更改的摘要•入侵防御报告:入侵防御规则活动的记录•日志审查报告:已收集的日志数据的摘要•日志审查详细报告:已收集的日志数据的详细信息•建议报告:“漏洞扫描(推荐设置)”活动的记录•摘要报告:趋势科技服务器深度安全防护系统活动的合并摘要•可疑应用程序活动报告:有关可疑恶意活动的信息•系统事件报告:系统(非安全)活动的记录•系统报告:计算机、联系人和用户的概述•Web信誉报告:包含大多数Web信誉事件的计算机列表 标记过滤器 选择包含事件数据的报告时,可以选择使用“事件标记”过滤报告数据。
为所有事件选择所有,仅为未标记的事件选择未标记,或选择标记并指定一个或多个标记以仅包含那些具有所选标记的事件。
31 趋势科技服务器深度安全防护系统管理中心9.6用户界面 生成报告 时间过滤器 可以针对记录存在的任意期间设置时间过滤器。
这对安全审计非常有用。
时间过滤器选项: •最近24小时内:包含最近24小时内的事件,起止于整点。
例如,如果在12月5日上午10:14生成报告,则可以获取12月4日上午10:00到12月5日上午10:00之间发生的事件的报告。
•最近7天内:包含上周内的事件,止于当日午夜。
例如,如果在12月5日上午10:14生成报告,则可以获取11月28日午夜00:00到12月5日午夜00:00之间发生的事件的报告。
•上个月:包含上一整月的事件,起止于午夜(00:00)。
例如,如果您在11月15日选择此选项,则将收到从10月1日午夜到11月1日午夜的事件报告。
•定制范围:允许为报告指定自己的日期和时间范围。
如果开始日期早于两天以前,则报告中的开始时间可能会更改为午夜。
注意: 报告使用计数器中存储的数据。
计数器是从事件定期聚合的数据。
最近三天的计数器数据会每小时聚合一次。
当前这一小时的数据不包括在报告中。
三天前的数据将存储在按天聚合的计数器中。
基于此原因,最近三天的报告所涵盖的时间段能以每小时级别的粒度来指定,但是,如果超出三天,此时间段只能以每天级别的粒度来指定。
计算机过滤器 设置将其数据包含在报告中的计算机。
您可以包括您有查看权限的任何计算机。
查看权限在角色的“计算机权限”选项卡上指定。
(有关更多信息,请参阅角色(第188页)。
) 计算机过滤器选项: •所有计算机:如果查看权限允许您查看趋势科技服务器深度安全防护系统管理的所有计算机,则选择此选项可以在报告中包含所有计算机。
•我的计算机:如果查看权限只允许您看到某些计算机,则选择此选项可以包括您能查看的所有计算机。
•组中:允许您在报告中仅包含属于选定组的计算机(其子组可选)。
•使用策略:允许您在报告中仅包含使用选定策略的计算机(其子策略可选)。
•计算机:允许您在报告中仅包含一台选定的计算机。
注意: 要在多个计算机组的特定计算机上生成报告,请创建一个仅对所需计算机具有查看权限的用户,然后再创建一个预设任务,以为该用户定期生成“所有计算机”报告,或者以该用户身份登录,并运行“所有计算机”报告。
只有该用户具有查看权限的计算机才会包含在报告中。
加密 您可以使用密码保护报告。
加密选项: •禁用报告密码:报告将不受密码保护。
•使用当前用户的报告密码:报告将受当前登录用户的密码保护。
如果您的角色为“完全访问权限”,此选项不可 用。
32 趋势科技服务器深度安全防护系统管理中心9.6用户界面 生成报告 •使用定制报告密码:报告将受您在使用定制报告密码和确认密码框中输入的密码保护。
密码没有任何复杂性要求。
定期报告 定期报告只是定期为任意数量的用户和联系人生成和分发报告的预设任务。
大多数选项与单个报告的选项相同,但“时间过滤器”除外,该选项如下所示: •最近[N]小时内:如果[N]小于60,开始时间和结束时间是指定小时的整点时间。
如果[N]大于60,在时间范围开始时不提供每小时数据,因此报告中的开始时间将更改为开始日期的午夜(00:00)。
•最近[N]天内:包括[N]天前午夜到当前日期午夜的数据。
•最近[N]周内:包含最近[N]周内的事件,起止于午夜(00:00)。
•最近[N]个月内:包含最近[N]个完整自然月内的事件,起止于午夜(00:00)。
例如,如果您在11月15日 选择“最近1个月内”,则将收到从10月1日午夜到11月1日午夜的事件报告。
注意: 报告使用计数器中存储的数据。
计数器是从事件定期聚合的数据。
最近三天的计数器数据会每小时聚合一次。
当前这一小时的数据不包括在报告中。
三天前的数据将存储在按天聚合的计数器中。
基于此原因,最近三天的报告所涵盖的时间段能以每小时级别的粒度来指定,但是,如果超出三天,此时间段只能以每天级别的粒度来指定。
有关预设任务的更多信息,请转至管理>预设任务。
33 趋势科技服务器深度安全防护系统管理中心9.6用户界面 计算机 计算机 趋势科技服务器深度安全防护系统管理中心的计算机部分用于管理和监控网络上的计算机。
此页面会定期刷新以显示最新信息。
(可以每个用户为基础修改刷新速率。
转至管理>用户管理>用户,然后双击一个用户打开用户属性窗口。
可在设置选项卡的刷新速率区域中设置计算机列表的刷新速率。
) 计算机图标: •普通计算机 • 趋势科技服务器深度安全防护系统中继(具有已启用中继的客户端的计算机) • ESXiServer • 虚拟计算机(VMwarevCenter管理的虚拟机) • 虚拟计算机(已启动) • 虚拟计算机(已停止) • 虚拟计算机(已暂停) • 虚拟设备 • 虚拟设备(已启动) • 虚拟设备(已停止) • 虚拟设备(已暂停) 预览窗格 单击列出的计算机旁边的预览图标
()以展开其下的显示区域。
预览中显示的信息取决于计算机的类型。
普通计算机 普通计算机的预览窗格显示客户端的存在情况、计算机状态以及防护模块的状态。
(注意,日志审查模块已关闭,并且插件未安装。
) 34 趋势科技服务器深度安全防护系统管理中心9.6用户界面 防护模块状态 计算机 中继 趋势科技服务器深度安全防护系统中继的预览窗格显示其状态、可用于分发的安全更新组件的数量,以及其内置的趋势科技服务器深度安全防护系统客户端提供的防护模块的状态。
ESXiServer ESXiServer的预览窗格显示其状态以及ESXi软件和趋势科技服务器深度安全防护系统过滤器驱动程序的版本号。
它还显示此服务器上vShieldEndpoint的状态(必须安装vShieldEndpoint才能提供防恶意软件保护)。
客户虚拟机区域中显示存在的趋势科技服务器深度安全防护系统虚拟设备,以及此主机上运行的虚拟机。
虚拟设备 虚拟设备的预览窗格显示其状态、设备的版本号以及此设备上vShieldEndpoint的状态(必须注册vShieldEndpoint才能提供防恶意软件保护)。
在受保护的客户虚拟机区域中,将显示受保护的虚拟机。
采用无客户端防护的虚拟机 虚拟机的预览窗格显示其受虚拟设备、客户虚拟机客户端或这两者保护。
它显示有关虚拟机上运行的组件的详细信息。
因
为此时设备不能提供日志审查保护,所以它将显示为“不可用”。
设备和客户虚拟机客户端的防火墙和入侵防御配置将始终相同。
35 趋势科技服务器深度安全防护系统管理中心9.6用户界面 计算机 向趋势科技服务器深度安全防护系统管理中心添加计算机 有关向趋势科技服务器深度安全防护系统管理中心添加计算机的详细说明,请参阅添加计算机。
注意: 在计算机上安装客户端之后,必须由趋势科技服务器深度安全防护系统管理中心“激活”该客户端。
在此过
程中,趋势科技服务器深度安全防护系统管理中心会向客户端发送“指纹”。
这之后,客户端将只接受来自具有该唯一指纹的管理中心的指令。
注意:如果将客户端安装在之前由趋势科技服务器深度安全防护系统虚拟设备提供无客户端保护的虚拟机上,必须从管理中心重新激活该虚拟机,以注册计算机上存在的客户端。
定义新的计算机 在工具栏中单击新建显示计算机创建向导。
键入新计算机的主机名或IP地址,并从下拉列表中选择要应用到新计算机的策略(可选)。
单击下一步会指示管理中心在网络上查找该计算机。
•如果未找到您所指定的计算机,管理中心仍会在计算机页面中为其创建一个条目,但您必须确保管理中心可以访问此计算机且已安装并激活客户端。
然后,可以为其应用适当的策略。
•如果已找到计算机但未识别到任何客户端,管理中心将在计算机页面中为此计算机创建一个条目。
您必须在该计算机上安装客户端并激活它。
•如果已找到计算机且已检测到客户端,管理中心将在计算机页面中创建一个条目。
在您退出向导(通过单击完成)后,管理中心会立刻激活计算机上的客户端并应用您所选定的策略。
查找计算机 在工具栏中单击发现...显示发现计算机对话框。
在发现期间,管理中心会在网络中搜索尚未列出的所有可见计算机。
找到
新计算机后,管理中心会尝试检测是否存在客户端。
当发现完成时,管理中心会显示已检测到的所有计算机并在状态列显示这些计算机的状态。
在发现操作之后,计算机可能处于以下某种状态: •已查找(无客户端/设备):已检测到计算机,但不存在客户端/设备。
如果已安装客户端/设备,但之前已将其激活且已针对客户端/设备启动的通信进行配置,则计算机也可能处于此状态。
由于从客户端/设备的单向通信,管理中心将无法知道客户端/设备的状态。
在这种情况下,您必须停用计算机上的客户端/设备并从管理中心重新激活它。
•已发现(需要激活):客户端已安装且正在侦听来自管理中心的通信,但尚未激活。
此状态也可能表示客户端/设备已安装且正在侦听,已被激活但尚未受管理中心管理。
如果此管理中心曾经管理该客户端/设备,但客户端/设备的公共证书已不再位于管理中心的数据库中,可能发生这种情况。
如果计算机已从管理中心移除,之后又被发现时,可能会出现这种情况。
要在此计算机上开始管理客户端/设备,请右键单击计算机并选择“激活/重新激活”。
一旦重新激活,状态将更改为“联机”。
36 趋势科技服务器深度安全防护系统管理中心9.6用户界面 计算机 •已发现(需要停用):客户端/设备已安装且正在侦听,但已由其他管理中心激活。
在这种情况下,必须先停用客户端/设备,然后再由此管理中心进行激活。
•已查找(未知):已检测到计算机,但无法确定客户端/设备是否存在。
注意:查找操作将仅检查新发现的计算机的状态。
要更新已列出的计算机的状态,请右键单击已选定的计算机并选择操作>检查状态。
注意: 在发现计算机时,您可以指定要将发现的计算机添加到的计算机组。
根据您已选择的组织计算机组的方式,创建名为“新找到的计算机”或“在网络区段X上新找到的计算机”(如果要扫描多个网络区段)的计算机组可能会很方便。
然后,您便可以将已发现的计算机基于其属性移到其他计算机组并将其激活。
注意: 在启用了自动将IP解析为主机名选项的情况下运行查找操作时,查找操作可能会找到趋势科技服务器深度安全防护系统管理中心无法找到的主机名。
发现可以回退为使用WINS查询或NetBIOS广播解析主机名(除DNS外)。
趋势科技服务器深度安全防护系统管理中心仅支持通过DNS查找主机名。
注意:查找操作不会查找vCenter中作为虚拟机运行的计算机。
查找操作不会查找MicrosoftActiveDirectory中的计算机。
添加目录 趋势科技服务器深度安全防护系统管理中心可以连接到MicrosoftActiveDirectory并与之同步。
有关从ActiveDirectory导入计算机列表的详细说明,请参阅ActiveDirectory。
添加VMwarevCenter 趋势科技服务器深度安全防护系统管理中心支持与VMwarevCenter和ESXiServer的紧密集成。
您可以从vCenter和ESXi节点导入组织和操作信息,并允许对企业的VMware基础架构应用详细的安全。
有关从VMware系统导入虚拟计算机的详细说明,请参阅VMwarevCenter。
添加云帐户 趋势科技服务器深度安全防护系统可以连接到AmazonEC2、VMwarevCloud和MicrosoftAzure服务提供的计算机(虚拟机或物理计算机)并对其进行管理。
有关从云提供程序添加计算机的详细说明,请参阅云帐户。
搜索计算机 使用搜索文本框在已发现的(即已列出的)计算机中搜索特定的计算机。
对于更复杂的搜索选项,请使用下面的“高级搜
索”选项。
高级搜索功能(搜索不区分大小写): •包含:选定列中的条目包含该搜索字符串•不包含:选定列中的条目不包含该搜索字符串•等于:选定列中的条目完全符合该搜索字符串•不等于:选定列中的条目并不完全符合该搜索字符串•在范围内:选定列中的条目与其中的一个逗号分隔的搜索字符串条目完全匹配•不在范围内:选定列中的条目并未与任意逗号分隔的搜索字符串条目完全匹配 37 趋势科技服务器深度安全防护系统管理中心9.6用户界面 计算机 导出选定的计算机 将计算机列表导出到XML或CSV文件。
当需要备份计算机信息、将其与其他报告系统相集成或者将计算机迁移到其他趋势科技服务器深度安全防护系统管理中心时,您可能希望执行此操作。
(这会为您省去从新的管理中心重新发现和扫描计算机的麻烦。
) 注意:导出的计算机文件不包括任何已分配的策略、防火墙规则、防火墙状态配置或入侵防御规则。
为了导出此配置信息,请使用策略页面中的“策略导出”选项。
激活/重新激活计算机上的客户端/设备 当计算机未受管理时,只有激活客户端/设备才能使计算机进入受管状态。
客户端/设备在激活之前处于下列状态之一:在
计算机页面中,右键单击要激活/重新激活其客户端/设备的计算机,然后从操作菜单中选择“激活/重新激活”。
(或者,可以在计算机的详细信息窗口中单击激活或重新激活按钮。
) •无客户端/设备:指明缺省端口上没有正在运行或侦听的客户端/设备。
“无客户端/设备”状态也可能表示客户端/设备已安装且正在运行,但正在配合另一个管理中心工作,并且通信已配置为“客户端/设备已启动”,因此,客户端/设备没有侦听此管理中心。
(如果要更正后面这种情况,必须在该计算机上停用客户端。
) •需要激活:客户端/设备已安装且正在侦听,已准备好由管理中心激活。
•需要重新激活:客户端/设备已安装且正在侦听,正在等待由管理中心重新激活。
•需要停用:客户端/设备已安装且正在侦听,但已由其他管理中心激活。
•未知:已导入计算机(位于已导入计算机列表中)但未导入其状态信息,或者已通过LDAP目录查找过程添加计 算机。
客户端/设备在成功激活后,状态将变成“联机”。
如果激活不成功,计算机状态将显示“激活不成功”,同时在括号中注明不成功原因。
单击此链接会显示系统事件,以提供激活不成功的详细原因。
注意: 虽然趋势科技服务器深度安全防护系统8.0及较早版本的客户端和设备支持IPv6,但缺省情况下已阻止此功能。
要允许在趋势科技服务器深度安全防护系统8.0客户端和设备上进行IPv6通信,请转至策略编辑器或计算机编辑器中的设置>网络引擎选项卡的高级网络引擎设置区域,然后将对8.0及更高版本的客户端和设备阻止IPv6选项设置为否。
检查计算机的状态 此命令检查计算机的状态,而不尝试执行扫描或激活。
停用计算机上的客户端/设备 您可能需要在两个趋势科技服务器深度安全防护系统管理中心安装之间转移计算机的控制权。
如果这样,必须停用客户端/
设备,随后再由新的管理中心重新激活客户端/设备。
可以从当前管理该客户端的管理中心停用客户端/设备。
也可以直接在计算机上从命令行停用客户端。
也可以直接在ESX服务器控制台上通过选择重置设备来停用设备。
向计算机发送更新策略 当您使用趋势科技服务器深度安全防护系统管理中心更改计算机上的客户端/设备的配置(应用新的入侵防御规则、更改日志记录设置等)时,趋势科技服务器深度安全防护系统管理中心必须将新的信息发送给该客户端/设备。
这是一个“发送策略”指令。
策略更新通常会立刻执行,但也可以通过单击发送策略来强制执行更新。
38 趋势科技服务器深度安全防护系统管理中心9.6用户界面 下载安全更新 此命令从已配置的中继下载最新安全更新到客户端/设备。
获取事件 覆盖正常事件检索时间表(通常在发出每个波动信号时),并立即从计算机检索事件日志。
清除警告/错误 使用此命令可清除计算机的所有警告和错误。
此命令在以下情况下非常有用:
•计算机的客户端已在本地重置•在您有机会停用或从计算机列表中删除此计算机之前,此计算机已经从网络中移除。
计算机 升级计算机上的客户端/设备软件 要升级客户端或设备,首先需要将较新版本的客户端或设备软件包导入
趋势科技服务器深度安全防护系统管理中心。
可以从“趋势科技下载专区”(如下文所述)导入客户端或设备软件包,或者将软件从本地目录手动导入管理中心(请参阅本地软件(第202页))。
要将软件包从“下载专区”导入趋势科技服务器深度安全防护系统:
1.转至管理>更新>软件>下载专区。
此页列出了趋势科技下载专区上的所有可用软件包。
已经导入趋势科技服务器深度安全防护系统管理中心的软件包在导入列中有一个绿色复选标记()。
它们还会列在管理>更新>软件>本地选项卡上。
已过期的软件包在导入列中有。
2.要更新已过期的软件包,请右键单击软件包名称并单击导入。
导入软件包后,即可使用它来升级一个或多个客户端或设备。
升级客户端/设备:
1.在计算机页面上,右键单击要升级其客户端或设备的计算机,然后选择操作>升级客户端/设备软件。
2.如果没有合适平台及版本(版本必须高于客户端/设备版本)的安装程序,将显示以下消息:“没有可用于选定 的计算机平台或版本的认证客户端/设备软件安装程序。
在升级趋势科技服务器深度安全防护系统客户端/设备之
前,请使用管理>更新>软件页面上的下载专区或本地面板,添加适当的客户端/设备软件安装程序。
否则,将显示“升级客户端/设备软件包”对话框。
在该对话框中,选择要安装的客户端/设备版本并指定何时进行升级。
您可以选择立即升级客户端/设备,或者选择使用升级时间表并指定趋势科技服务器深度安全防护系统检查并安装升级客户端/设备软件的频率。
注意: 在极少数情况下,计算机可能需要重新启动才能完成升级。
如果是这样,将会触发警报。
要立刻查明是否需要重新启动计算机,请检查“已升级客户端软件”或“已升级虚拟设备”事件的文本,查看平台安装程序是否指示需要重新启动。
注意:必须手动解除“需要重新启动”警报,该警报不会自动解除。
注意:趋势科技服务器深度安全防护系统虚拟设备使用RedHatEnterpriseLinux6(64位)软件包。
将虚拟设备导入趋势科技服务器深度安全防护系统管理中心时,RedHat客户端也将被导入。
激活计算机上的虚拟设 39 趋势科技服务器深度安全防护系统管理中心9.6用户界面 计算机 备时,趋势科技服务器深度安全防护系统会升级RedHat客户端至趋势科技服务器深度安全防护系统管理中心中的最新版本。
不可以删除最新版的RedHat客户端,除非首先移除所有虚拟设备软件包。
只能删除未在使用的RedHat客户端旧版本。
漏洞扫描(推荐设置) 趋势科技服务器深度安全防护系统管理中心可以扫描计算机并随后针对安全规则提出建议。
可以在各种规则页面的计算机详细信息窗口中看到“漏洞扫描(推荐设置)”结果。
请参阅计算机详细信息窗口的文档,以获取更多信息。
清除建议 清除在该计算机上执行“漏洞扫描(推荐设置)”后生成的规则建议。
这也会移除在执行“漏洞扫描(推荐设置)”后生
成的警报中列出的相应计算机。
注意:此操作不会取消分配根据以往建议分配的任何规则。
完整扫描恶意软件 在选定的计算机上执行完整的恶意软件扫描。
完整扫描采取的处理措施取决于此计算机上生效的恶意软件手动扫描配置。
有关更多信息,请参阅恶意软件扫描配置(第64页)。
快速扫描恶意软件 扫描关键系统区域中当前活动的威胁。
快速扫描将查找当前活动的恶意软件,但是不会执行深度文件扫描以查找休眠文件或存储的受感染文件。
在较大的驱动器中,它的速度明显快于完整扫描。
注意:快速扫描仅按需提供。
无法作为预设任务的一部分预设快速扫描。
扫描计算机上有无打开的端口 扫描打开的端口在所有选定的计算机上执行端口扫描,检查计算机上安装的客户端,以确定客户端的状态是“需要停
用”、“需要激活”、“要求重新激活客户端”还是“联机”。
(缺省情况下,扫描操作将扫描端口1-1024。
您可以在策略/计算机编辑器>设置>扫描中更改此范围。
) 注意: 无论端口范围设置如何,会始终扫描端口4118。
管理中心启动的通信发送到计算机上的这个端口。
如果计算机的通信方向设置为“客户端/设备启动的”(策略/计算机编辑器>设置>计算机>通信方向),将关闭端口4118。
注意:将不会检测网络上的新计算机。
要查找新计算机,必须使用发现工具。
取消当前正在执行的所有端口扫描操作 如果启动对许多台计算机和/或很大范围内的端口的一系列端口扫描,并且扫描已花费很长的时间,使用此选项可取消扫
描。
40 趋势科技服务器深度安全防护系统管理中心9.6用户界面 计算机 扫描完整性 完整性监控跟踪对计算机系统和文件所做的更改。
方法是创建基线并随后执行定期扫描以将计算机的当前状态与基线做比较。
有关详细信息,请参阅完整性监控页面的文档。
重新生成完整性基线 在此计算机上为完整性监控重新生成基线。
将计算机移到计算机组 要将计算机移到新的计算机组,请右键单击该计算机并选择操作
>移动到组... 将策略分配给计算机 随后会打开一个包含下拉列表的窗口,可在其中将策略分配给计算机。
计算机页面上的策略列会显示分配给计算机的策略的名称。
注意:如果将其他设置应用到计算机(例如,添加其他防火墙规则或修改防火墙状态配置设置),策略的名称将会使用粗体,表示缺省设置已更改。
分配资产值 通过资产值,您可以按重要性对计算机和事件进行排序。
各个安全规则都有一个严重性值。
触发计算机上的规则时,将规则的严重性值与计算机的资产值相乘。
该值可用于按重要性对事件进行排序。
有关更多信息,请参阅管理>系统设置>排序。
分配中继组 要为此计算机选择中继组以从其下载更新,请右键单击此计算机,然后选择处理措施>分配中继组...。
删除计算机 如果要删除计算机,将一并删除与该计算机有关的所有信息。
如果重新查找计算机,则必须重新分配策略以及之前分配的任何规则。
检查与计算机关联的事件 检查与计算机关联的系统事件和安全方面的事件。
添加新的计算机组 从组织角度来看,创建计算机组非常有用,这会加快应用和管理策略的过程。
右键单击要在其下创建新计算机组的计算机
组,然后选择添加组。
41 趋势科技服务器深度安全防护系统管理中心9.6用户界面 计算机 添加从MicrosoftActiveDirectory结构导入的计算机和计算机组 通过从基于LDAP的目录(例如,MicrosoftActiveDirectory)导入来发现计算机。
已根据目录中的结构导入并同步计算机。
有关更多信息,请参阅添加计算机。
移除组 仅当计算机组不包含任何计算机且没有子组时,才可以将其移除。
将计算机从当前组移到其他组 您可以将计算机从一个计算机组移到另一个计算机组,但请记住,策略是在计算机级别上而不是计算机组级别上应用的。
将计算机从一个计算机组移到另一个计算机组不会影响分配给该计算机的策略。
查看或编辑计算机组的属性 组的属性包括组的名称和描述。
注意:此页面上介绍的一些功能仅在相应模块启用之后才会出现。
例如,当单击计算机页面上的操作时,仅在防恶意软件和完整性监控模块启用后才会显示完整扫描恶意软件和扫描完整性更改。
42 趋势科技服务器深度安全防护系统管理中心9.6用户界面 策略 策略 策略 “策略”页面会在分层树结构中显示现有策略,这些策略可显示其父/子关系。
•策略(第44页) 通用对象 “通用对象”页面列出了在整个趋势科技服务器深度安全防护系统中可供许多构造(如策略和规则)共享的对象。
这可以被视为共享对象的根存储库。
策略编辑器窗口和计算机编辑器窗口会显示对象的同一个列表,但可针对策略或特定计算机覆盖这些通用对象的属性。
有关如何在策略或计算机级别继承和覆盖通用对象属性的更多信息,请参阅策略、继承和覆盖。
规则 “规则”页面会列出现有防护模块规则(针对使用规则的这些模块)。
•防火墙规则(第71页)•入侵防御规则(第75页)•完整性监控规则(第80页)•日志审查规则(第84页) 列表 •目录列表(第46页)•文件扩展名列表(第49页)•文件列表(第50页)•IP列表(第53页)•MAC列表(第54页)•端口列表(第55页) 其他 •上下文(第58页)•防火墙状态配置(第60页)•恶意软件扫描配置(第64页)•时间表(第56页)•标记(第57页) 43 趋势科技服务器深度安全防护系统管理中心9.6用户界面 策略 策略 策略允许保存规则和配置设置集合,以更方便地将其分配给多台计算机。
策略页面会在分层树结构中显示现有策略。
在“策略”页面上,您可以执行以下操作: •从头开始创建新策略()•从XML文件(位于新建菜单下)导入策略() 注意:导入策略时,请确保您创建策略的系统和将接收这些策略的系统都具有最新的安全更新。
如果接收策略的系统运行的是较旧的安全更新,则它可能不具备最新系统的策略中所引用的某些规则。
•检查或修改现有策略的详细信息() •复制(然后修改并重新命名)现有策略() •删除策略() •将策略导出到XML文件() 注意: 将选定的策略导出到XML时,策略所拥有的任何子策略都将包含在导出的数据包内。
导出的数据包包含与策略相关联的所有实际对象,以下各项除外:入侵防御规则、日志审查规则、完整性监控规则和应用程序类型。
单击新建()会打开策略向导,该向导会提示您输入新策略的名称,然后提供用于打开策略详细信息窗口的选项。
单击详细信息()可显示策略详细信息窗口。
注意: 您可以基于计算机的“漏洞扫描(推荐设置)”来创建新策略。
要执行此操作,请选择一台计算机,然后运行“漏洞扫描(推荐设置)”。
(在计算机页面上右键单击该计算机,然后选择处理措施>漏洞扫描(推荐设置))。
扫描完成后,请返回至策略页面,然后单击新建,以显示新建策略向导。
出现提示时,选择在“现有计算机的当前配置”上建立新策略。
然后,从计算机的属性中选择“建议的应用程序类型和入侵防御规则”、“建议的完整性监控规则”和“建议的日志审查规则”。
注意:策略将仅包含计算机上建议的元素,而不会考虑当前将哪些规则分配给了该计算机。
将策略分配给计算机:
1.在趋势科技服务器深度安全防护系统管理中心中,转至计算机。
2.从计算机列表中选择计算机,右键单击并选择处理措施>分配策略。
3.从层次结构树中选择策略,然后单击确定。
有关如何使用策略保护计算机的更多信息,请参阅快速入门:保护服务器。
有关层次结构树中的子策略如何继承或覆盖父策略的设置和规则的更多信息,请参阅策略、继承和覆盖。
将策略分配给计算机之后,您仍应该在计算机上运行定期“漏洞扫描(推荐设置)”,以确保计算机上的所有漏洞均受到保护。
有关更多信息,请参阅漏洞扫描(推荐设置)。
44 趋势科技服务器深度安全防护系统管理中心9.6用户界面 通用对象 通用对象包括:•目录列表(第46页)•文件列表(第50页)•文件扩展名列表(第49页)•IP列表(第53页)•MAC列表(第54页)•端口列表(第55页)•上下文(第58页)•防火墙状态配置(第60页)•时间表(第56页)•标记(第57页)•防火墙规则(第71页)•入侵防御规则(第75页) 通用对象 45 趋势科技服务器深度安全防护系统管理中心9.6用户界面 目录列表 目录列表 目录列表是可重用的目录列表。
在主页面上可以执行下列操作: •从头开始创建新建目录列表()•从文件导入()可从XML文件导入扫描目录列表•查看或修改现有目录列表的属性()•复制(然后修改)现有的目录列表()•删除目录列表()•将一个或多个目录列表导出()到XML或CSV文件。
(单击导出...按钮可将它们全部导出,也可以从下拉 列表中进行选择,只导出选定或显示的那些内容)•添加或删除列()通过单击添加/删除列可添加或删除列。
通过将列拖曳到新的位置,可以控制列的显示顺 序。
可按照任意列的内容来排序和搜索所列出的项目。
单击新建()或属性()将显示目录列表属性窗口。
目录列表属性 常规信息 目录列表的名称和描述。
目录 键入要出现在列表上的目录。
每一行只输入一个目录。
支持的格式 注意:包含目录设置接受正斜杠"/"或反斜杠"\",以同时支持Windows和Linux惯例。
下表介绍了可用于定义目录列表的语法: 目录 格式 描述 目录 DIRECTORY包含指定目录中的所有文件以及所有子目录中的所有文件。
网络资源 \\NETWORKRESOURCE 包含作为目标计算机上的网络资源包含在内的计算机上的文件。
示例C:\ProgramFiles\包含"ProgramFiles"目录以及所有子目录中的所有文件。
\\12.34.56.78\\\p-name\包含使用IP或主机名指定的网络资源上的所有文件。
不包含子目录。
46 趋势科技服务器深度安全防护系统管理中心9.6用户界面 目录列表 目录 格式 描述 示例\\12.34.56.78\somefolder\\\p-name\somefolder\包含使用IP或主机名标识的网络资源上的文件夹"somefolder"中的所有文件。
不包含子目录。
C:\abc\*\包含所有"abc"子目录中的所有文件,但不包含"abc"目录中的文件。
包含通配符DIRECTORY\*\包含具有任意子目录名称的所有子目录,但不包含指定目录中的文件。
(*)的目录 C:\abc\wx*z\匹配:C:\abc\wxz\C:\abc\wx123z\不匹配:C:\abc\wxzC:\abc\wx123z C:\abc\*wx\匹配:C:\abc\wx\C:\abc\123wx\不匹配:C:\abc\wxC:\abc\123wxC:\abc\*匹配:C:\abc\C:\abc\1C:\abc\123不匹配:C:\abcC:\abc\123\C:\abc\123\456C:\abx\C:\xyz\ 包含通配符DIRECTORY\*包含具有匹配名称的所有子目录,但不包含该目录以及所有子目录中的文件。
(*)的目录 C:\abc\*wx匹配:C:\abc\wxC:\abc\123wx不匹配:C:\abc\wx\C:\abc\123wx\ C:\abc\wx*z匹配:C:\abc\wxzC:\abc\wx123z不匹配:C:\abc\wxz\C:\abc\wx123z\ C:\abc\wx* 47 趋势科技服务器深度安全防护系统管理中心9.6用户界面 目录列表 目录 环境变量注释 格式 描述 示例 匹配: C:\abc\wx C:\abc\wx\ C:\abc\wx12 C:\abc\wx12\345\ C:\abc\wxz\ 不匹配: C:\abc\wx123z\ ${ENV
VAR} ${windir}包含由格式为${ENVVAR}的环境变量定义的所有文件和子目录。
对于虚拟设备, 如果该变量解析为"c:\windows",请包含必须在系统设置>“计算机”选项卡>环境变量覆盖中定义环境变量的值对。
"c:\windows"及其所有子目录中的所有文件。
DIRECTORY#允许您向包含定义添加注释。
注释 c:\abc#Includetheabcdirectory 已分配给 已分配给选项卡列出使用此目录列表的规则。
单击规则名称会显示其属性窗口。
48 趋势科技服务器深度安全防护系统管理中心9.6用户界面 文件扩展名列表 文件扩展名列表 文件扩展名列表页面包含恶意软件扫描配置使用的一系列文件扩展名。
例如,多个恶意软件扫描配置可以使用一列文件扩展名来将带有这些扩展名的文件包括在扫描中。
多个恶意软件扫描配置也可以使用另一列文件扩展名从扫描中排除带有这些扩展名的文件。
在主页面上可以执行下列操作: •从头开始创建新建文件扩展名列表()•从文件导入()可从XML文件导入扫描文件扩展名•查看或修改现有文件扩展名列表的属性()•复制(然后修改)现有的文件扩展名列表()•删除文件扩展名列表()•将一个或多个文件扩展名列表导出()到XML或CSV文件。
(单击导出...按钮可将它们全部导出,也可以 从下拉列表中进行选择,只导出选定或显示的那些内容)•添加或删除列()通过单击添加/删除列可添加或删除列。
通过将列拖曳到新的位置,可以控制列的显示顺 序。
可按照任意列的内容来排序和搜索所列出的项目。
单击新建()或属性()显示文件扩展名列表属性窗口。
文件扩展名列表属性 常规信息 文件扩展名列表的名称和描述。
文件扩展名 键入要出现在列表上的文件扩展名。
每一行只输入一个扩展名。
已分配给 已分配给选项卡列出使用此文件扩展名列表的规则。
单击规则名称会显示其属性窗口。
49 趋势科技服务器深度安全防护系统管理中心
9.6用户界面 文件列表 文件列表 文件列表是可重用的文件列表。
常规 使用文件列表部分可以创建可重复使用的有效文件列表。
在主页面上可以执行下列操作:•从头开始创建新建文件列表()•从文件导入()可从XML文件导入扫描文件•查看或修改现有文件列表的属性()•复制(然后修改)现有的文件列表()•删除文件列表()•将一个或多个文件列表导出()到XML或CSV文件。
(单击导出...按钮可将它们全部导出,也可以从下拉列表中进行选择,只导出选定或显示的那些内容)•添加或删除列()通过单击添加/删除列可添加或删除列。
通过将列拖曳到新的位置,可以控制列的显示顺序。
可按照任意列的内容来排序和搜索所列出的项目。
单击新建()或属性()将显示文件列表属性窗口。
文件列表属性 常规信息 文件列表的名称和描述。
文件 键入要出现在列表上的文件。
每一行只输入一个文件名。
支持的格式 注意:包含设置接受正斜杠"/"或反斜杠"\",以同时支持Windows和Linux惯例。
下表介绍了可用于定义文件列表包含的语法: 包含 格式 描述 文件 FILE 包含具有指定文件名的所有文件,无论这些文件位于何位置或目录。
示例abc.doc包含所有目录中名为"abc.doc"的所有文件。
不包含"abc.exe"。
50 趋势科技服务器深度安全防护系统管理中心9.6用户界面 包含 格式 描述 文件路径 FILEPATH包含由文件路径指定的特定文件。
包含通配符(*)的文件 FILE* 包含文件名中具有匹配特征码的所有文件。
包含通配符(*)的文件 FILE.EXT*包含文件扩展名中具有匹配特征码的所有文件。
文件列表 示例C:\Documents\abc.doc仅包含"Documents"目录中名为"abc.doc"的文件。
abc*.exe包含前缀为"abc"且扩展名为".exe"的所有文件。
*.db匹配:123.dbabc.db不匹配:123db123.abdcbc.dba *db匹配:123.db123dbac.dbacdbdb不匹配:db123 wxy*.db匹配:wxy.dbwxy123.db不匹配:wxydbabc.v*包含文件名为"abc"且扩展名以".v"开头的所有文件。
abc.*pp匹配:abc.ppabc.app不匹配:wxy.app abc.a*p匹配:abc.apabc.a123p不匹配:abc.pp abc.*匹配:abc.123 51 趋势科技服务器深度安全防护系统管理中心9.6用户界面 文件列表 包含 包含通配符(*)的文件 环境变量注释 格式 描述 示例 abc.xyz 不匹配: wxy.123 a*c.a*p 匹配: ac.ap FILE*.EXT*包含文件名及扩展名中具有匹配特征码的所有文件。
a123c.apac.a456p a123c.a456p 不匹配: ad.aa 包含由格式为${ENVVAR}的环境变量指定的文件。
可以使用系统设置>“计算机”选${myDBFile} ${ENVVAR} 项卡>环境变量覆盖来定义或覆盖这些文件。
包含文件"myDBFile"。
FILEPATH#允许您向包含定义添加注释。
注释 C:\Documents\abc.doc#Thisment 已分配给 已分配给选项卡列出使用此文件列表的文件名称。
单击文件列表名称会显示其属性窗口。
52 趋势科技服务器深度安全防护系统管理中心9.6用户界面 IP列表 IP列表 使用IP列表页面可创建可重复使用的IP地址列表,供多个防火墙规则使用。
在主页面上可以执行下列操作: •从头开始创建新的IP列表()•从XML文件导入()IP列表•查看或修改现有IP列表的属性()•复制(然后修改)现有的IP列表()•删除IP列表()•将一个或多个IP列表导出()到XML或CSV文件。
(单击导出...按钮可将它们全部导出,也可以从下拉 列表中进行选择,只导出选定或显示的那些内容) 单击新建()或属性()显示IP列表属性窗口。
IP列表属性 常规信息 IP列表的名称和描述。
IP 键入要出现在列表上的IP地址、屏蔽的IP地址及IP地址范围。
每行只输入这些地址中的一个。
支持的格式 除了单个地址外,您还可以输入IP范围和屏蔽的IP。
请参考下列示例来正确设置条目的格式。
(在文本的前面加上井号("#"),便可以在IP列表中插入注释。
) 已分配给 已分配给选项卡列出使用此IP列表的规则。
单击规则名称会显示其属性窗口。
53 趋势科技服务器深度安全防护系统管理中心9.6用户界面 MAC列表 MAC列表 使用MAC列表部分可以创建可重用的MAC地址列表。
在主页面上可以执行下列操作: •从头开始创建新的()MAC列表•从XML文件导入()MAC列表•查看或修改现有MAC列表的属性()•复制(然后修改)现有的MAC列表()•删除MAC列表()•将一个或多个MAC列表导出()到XML或CSV文件。
(单击导出...按钮可将它们全部导出,也可以从下 拉列表中进行选择,只导出选定或显示的那些内容) 单击新建()或属性()显示MAC列表属性窗口。
MAC列表属性 常规信息 列表的名称和描述。
MAC 键入要出现在列表上的MAC地址。
每行只输入这些地址中的一个。
支持的格式 MAC列表支持使用连字符(-)和冒号分隔格式的MAC地址。
请参考下列示例来正确设置条目的格式。
(在文本的前面加上井号("#"),便可以在MAC列表中插入注释。
) 已分配给 已分配给选项卡列出使用此MAC列表的规则。
单击规则名称会显示其属性窗口。
54 趋势科技服务器深度安全防护系统管理中心9.6用户界面 端口列表 端口列表 使用端口列表页面可创建可重复使用的端口列表。
在主页面上可以执行下列操作: •从头开始创建新的端口列表()•从XML文件导入()端口列表•查看或修改现有端口列表的属性()•复制(然后修改)现有的端口列表()•删除端口列表()•将一个或多个端口列表导出()到XML或CSV文件。
(使用导出...按钮可将它们全部导出,也可以从下拉 列表中进行选择,只导出选定或显示的那些内容)单击新建()或属性()将显示端口列表属性窗口。
端口列表属性 常规信息 列表的名称和描述。
端口 键入要出现在列表上的端口。
每行只输入这些地址中的一个。
注意:有关普遍接受的端口分配的列表,请访问AssignedNumbersAuthority(IANA) 支持的格式 列表上可以包含单个端口和端口范围。
请参考下列示例来正确设置条目的格式。
(在文本的前面加上井号("#"),便可以在端口列表中插入注释。
) 已分配给 已分配给选项卡列出使用此端口列表的规则。
单击规则名称会显示其属性窗口。
55 趋势科技服务器深度安全防护系统管理中心9.6用户界面 时间表 时间表 时间表是可重用的时间表。
从工具栏或右键单击快捷方式菜单,您可以: •从头开始创建新的时间表()•从XML文件导入()时间表•查看或修改现有时间表的属性()•复制(然后修改)现有的时间表()•删除时间表()•将一个或多个时间表导出()到XML或CSV文件。
(单击导出...按钮可将它们全部导出,也可以从下拉列 表中进行选择,只导出选定或显示的那些内容) 单击“新建”()或属性()显示“时间表属性”窗口。
时间表属性 时间表期间是由以小时为单位的时间块定义的。
单击某个时间块可以选择该时间块,按住Shift单击可取消选择。
已分配给 已分配给选项卡显示使用此时间表的规则的列表。
56 趋势科技服务器深度安全防护系统管理中心9.6用户界面 标记 标记 利用事件标记,管理员可以使用预定义的标签(“攻击”、“可疑”、"patch"、“可接受的更改”、“误报”、“高优先级”等)手动标记事件并可以定义定制标签(“分配给Tom进行检查”等)。
除了手动标记事件外,还可以使用“可信计算机”(对于管理完整性监控事件尤其有用)实现自动事件标记。
例如,Patch的推出计划可应用于可信计算机,与Patch应用相关联的事件可标记为"PatchX",其他系统上提出的类似事件可自动视为“可接受的更改”,从而减少需要由管理员分析的事件数量。
事件标记启用专门的事件视图、控制板和报告,并应用于单个事件、类似事件,甚至应用于将来出现的所有类似事件。
标记 所有当前已定义的标记将显示在策略>通用对象>其他>标记页面中。
这包括预定义标记和定制标记。
(仅显示当前使用的标记。
)删除标记:删除标记将从与其关联的所有事件中移除该标记。
自动标记规则 自动标记规则是通过选择事件以及标记类似的项目创建的。
有关事件标记步骤的信息,请参阅事件标记。
57 趋势科技服务器深度安全防护系统管理中心9.6用户界面 上下文 上下文 上下文是根据计算机网络环境实施不同安全策略的强大途径。
上下文与防火墙规则和入侵防御规则相关联。
如果满足了上下文中定义的与规则相关的条件,则应用此规则。
(要使安全规则与上下文相关联,请转至安全规则的属性窗口上的选项选项卡,并从“上下文”下拉式菜单中选择“上下文”。
)上下文可以用来向客户端提供“位置感知”。
为了判断计算机的位置,上下文会检查计算机与其域控制器的连接性质及其连接。
选择上下文在域控制器连接是以下情况时应用选项并从以下选项中进行选择: •本地连接到域:仅在计算机可以直接连接到其域控制器时,选择该项•远程连接到域:如果计算机只可通过VPN连接到其域控制器,选择该项•未连接到域:在计算机无法连接到其域控制器时,选择该项•未连接到域,无连接:如果计算机无法通过任何方式连接到其域控制器并且该主机无连 接,选择该项。
(可以在管理>系统设置>上下文中配置连接测试。
) 评估计算机与其域控制器或连接的能力之后,客户端就可以实施规则,例如:限制HTTP流量仅到达非可路由的(“专用”)IP地址。
注意:对于使用上下文实施防火墙规则的策略的示例,请检查“位置感知—高”策略的属性。
从工具栏或上下文页面上的右键单击快捷方式菜单,您可以:•从头开始创建新的()上下文•从XML文件导入()上下文(位于新建菜单下。
)•查看或修改现有上下文的属性()•复制(然后修改)现有的上下文()•删除上下文()•将一个或多个上下文导出()到XML或CSV文件。
(单击导出...按钮可将它们全部导出,也可以从下拉列表中进行选择,只导出选定或显示的那些内容)•添加或删除列()通过单击添加/删除列可添加或删除列。
通过将列拖曳到新的位置,可以控制列的显示顺序。
可按照任意列的内容来排序和搜索所列出的项目。
单击新建()或属性()显示上下文属性窗口。
上下文属性: 常规信息 上下文规则的名称和描述,以及与该规则兼容的趋势科技服务器深度安全防护系统客户端的最早版本。
58 趋势科技服务器深度安全防护系统管理中心
9.6用户界面 上下文 选项 上下文在域控制器是以下情况时应用 在此处指定选项将根据计算机与其域控制器或
相关文章
