通过Command-and-Control(C2)通信检测,支持检测和阻止命令与控制(C2)活动,从而保护终端用户。云端内置千万级威胁情报,并保持快速更新,新的恶意域名一旦被发现,将通过SASE快速同步更新到全球所有位置,使您免受最新的网络威胁,提升企业位置威胁防御能力。
1、授权前置条件:云图上已开通【上网安全】订阅模块,若无授权,参考《SASE授权开通》章节。
2、引流前置条件:已通过硬件引流器(RT/SDW-R/AF)或引流客户端的方式成功接入云安全访问平台,控制台首页可看到用户在线,接入操作参考《安装部署》章节。
1、登录云图,在【我的产品】登入【上网安全】,在左侧菜单栏选择【互联网安全访问】-【策略】-【威胁管理】页面,开启C2通信检测开关。
2、点击策略配置,进入C2通信检测页面。
3、在动作选项框,自行选择拦截模式或观察模式,点击确定保存。
若选择拦截模式,将对自定义选择的威胁等级进行拦截。共有高危、中危和低危三种威胁等级供选择。
若选择观察模式,则仅记录日志,不进行拦截。
注:该功能需开启 DNS 引流。点击【终端管理】-【终端配置】-【客户端引流】-【高级配置】,勾选开启DNS引流。若有非公网 DNS 配置,需要做排除引流,否则将影响业务正常访问。
1、通过【日志中心】-【威胁防护日志】模块,如果存在挖矿、木马远控、勒索软件、黑客工具、间谍软件和信息窃取程序等攻击行为,可在此页面查看C2通信检测功能记录的详细日志。
建议使用Chrome浏览器访问!
