# Deep Security 功能設定(Web Reputation、Device Control、Application Control、Integrity Monitoring) ## **Web Reputation** :::info 網頁與連線防護，保障設備上網安全。 ::: #### 保障使用者上網之安全可設置層級 | 層級 | 可疑網站 | 高風險網站 | 惡意網站 | | ---- |:-------- | ---------- |:-------- | | 高 | 有 | 有 | 有 | | 中 | X | 有 | 有 | | 低 | X | X | 有 | - 自動比對趨勢大數據資料庫進行網頁信譽評等，封鎖可疑or有害的惡意網站，同時支援手動新增排除與封鎖。 - 提供未評分之網站皆封鎖之選項。 #### 自行設定連線黑、白名單 :::info Web Reputation 功能啟用可能的影響與注意事項: - Web Reputation 功能預設安全層級:中 - 若啟用Web Reputation功能的高安全層級，建議將此系統會連線的位置，添加到Web Reputation例外清單，避免Web Reputation功能影響系統連線。 ::: :::success ### Web Reputation > General ##### Security Level: > - [ ] High > - [x] Medium (預設) > - [ ] Low > - [ ] Block pages that have not been tested by Trend Micro(阻止未經趨勢科技測試的頁面)  ::: :::warning ### Web Reputation > Exceptions > - Allowed : > - [ ] Allow URLs from the domain(允許來自網域的網址) > - [ ] Allow the URL (允許URL) > - Blocked : > - [ ] Block URLs from the domain(封鎖來自網域的網址) > - [ ] Block the URL(封鎖URL) > - [ ] Block URLs containing this keyword(封鎖包含此關鍵字的網址) ::: :::danger ### Web Reputation > Smart Protection ##### Smart Protection Server for Web Reputation Service(智能保護伺服器SPS) > - [ ] Connect directly to Global Smart Protection Service(直接連接到全球智能保護服務) > - [ ] Use locally installed Smart Protection Server (ex: "http://[server]:5274"):使用本地安裝的智能保護伺服器 ##### Smart Protection Server Connection Warning:連線警告 ##### Warn if connection to Smart Protection Server is lost:當與智能保護伺服器的連接丟失時發出警告。 > - [ ] Yes > - [ ] No ::: :::success ### Web Reputation > Advanced ##### Blocking Page:提供一個在封鎖頁面上顯示的鏈接，以便允許用戶對被封鎖的頁面提出異議。 > 提供企業客製警訊網頁 : [http://sitesafety.trendmicro.com/](http://sitesafety.trendmicro.com/) > ##### Alert(警告) > ##### Ports(所有來自瀏覽器的HTTPS請求將由Trend Micro Toolbar for Enterprise瀏覽器擴展進行監控。這些請求在所有Ports（1-65535）上進行監控，不受配置的限制。) ::: :::info ### 測試一 - 將 [https://hackmd.io/FzrEdjGVTWCIn3GF0xZZig?edit](https://) 的URL設定為黑名單(封鎖)。 - 套用Policy上去，打開該URL。 - 觸發狀態如下圖:(啟用網頁信譽評等告警服務)   ### 測試二 - 將[https://success.trendmicro.com/dcx/s/solution/000196511?language=zh_TW] 中網頁信譽評等測試URL測試 - 確認套用的Policy  - 觸發如下圖(依照風險等級和未測試)      ::: ## **Device Control** :::info 周邊存取設備控管。 ::: :::success ### Device Control > General ##### Protocols: > - USB Mass Storage:USB存儲 > - [ ] Full Access(完整權限) > - [ ] Read Only(僅讀取) > - [ ] Block(封鎖) > - USB AutoRun Function:USB運行 > - [ ] Allow(允許) > - [ ] Block(封鎖) > - Mobile(MTP/PTP):MTP（Media Transfer Protocol）和 PTP（Picture Transfer Protocol）是用於在計算機和移動設備之間進行媒體文件（如照片、音樂）傳輸的協議。 > - [ ] Full Access(完整權限) > - [ ] Read Only(僅讀取) > - [ ] Block(封鎖)  ::: ## **Application Control** :::info 多平台應用程式控管 ::: #### 自動偵測並攔截Windows和Linux伺服器上未經授權的軟體。 #### 掃描電腦上所安裝的應用程式。 #### 再清查過應用程式清單之後將系統狀態鎖定，自動防止新的應用程式執行，無須建立白名單。 :::info - Application Control功能適用變動較少與封閉設備: - 產線機台 - ATM設備 - 供民眾查詢之設備 ::: :::success ### Application Control > General ##### Enforcement: > - [ ] Block unrecognized software until it is explicitly allowed (阻止未識別的軟體，直到明確允許為止) > - [ ] Allow unrecognized software until it is explicitly blocked (允許未識別的軟體，直到明確封鎖為止) > Maintenance Mode(維護模式) : 允許軟體變更並自動認證。(提供管理人員更簡易的進行應用程式清單維護) > Trust Entities(信任) : 信任規則。  ::: ## **Integrity Monitoring** :::info 異動監控，監控重要作業系統與應用程式資料，當資料異動時，即時通知管理者。CPU使用率較高，Log檔可能偏大。 ::: #### 監控重要的作業系統與應用程式資料，例如:檔案、目錄、系統登入機碼與數值等等，即時偵測並通報惡意和非預期的變更。 #### 依據不同環境與系統，自定義監控範圍。 #### 依需求調整Integrity Monitoring功能在掃瞄時，占用系統的CPU使用率。(Integrity Monitoring功能在掃描時，能使用的CPU越低，所需時間越長) #### 每一條Rule皆可自定義危險層級。 :::info - Integrity Monitoring功能啟用可能的影響與注意事項: - 建議依據以下條件當作監控範圍: 1. 靜態檔案(變動不大的檔案) 2. 非記錄檔 3. 避免提供**，以特定附檔名為主 4. 若為民眾上傳系統，提供[特定副檔名例外]or[需監控的副檔名] ::: #### 在備份主機、資料庫、Cluster設備...等設備路徑，建議添加例外清單，避免Integrity Monitoring功能影響設備運作。 :::success ### Integrity Monitoring > General > - Enable real-time scan(提供即時監控) > - [x] Real Time ##### Integrity Scan : Scan For Integrity(完整性掃描) ##### Baseline (基準線:文件的當前狀態、文件的數量和位置、文件的散列值或檢驗和值，以確保它們在基準線期間未受到修改。): > - [ ] Rebuild Baseline : 重建基準線 > - [ ] View Baseline :　查看基準線 ##### Assigned Integrity Monitoring Rules > 提供多種預設監控規則，EX:Host File、Tasks Job、Windows特定機碼...等，配置的Rule > 可自訂專屬Rules，支援自訂監控範圍機碼、目錄、檔案 - 如何設計IM的規則 : - XML 可使用哪些指令集 : 1. / 下一層目錄 2. ** 包含Sub目錄 3. ? 單一個字元 4. * 符合多個字元 EX: - /a?c/123/*.java - 符合:/abc/123/test.java - 不符合:/abbc/123/test.java - 屬性設計 : - STANDARD包含:Created、LastModified、Permissions、Owner Group、Size Contents - 可只能設定其中一項，如:Created(檔案生成時)其餘則不監控。 - 目錄結構 : - C:\A、C:\A\1、C:\A\2、C:\A\3 - 需求是只需要監控A底下三個資料夾，以下範例是排除1、2資料夾的監控，自訂XML檔: `<FileSet base = "C:\A">`要監控的目錄 `<include key = "**/*"/>`要監控的所有檔案類型(監控特定副檔名:`<include key = "**/*.jpg"/>`) `<include key = "1/**/*"/>`要排除1目錄(包含子目錄)及所有檔案類型 `<include key = "2/**/*"/>`要排除2目錄(包含子目錄)及所有檔案類型  ##### Recommendtaions(建議) > - Automatically implement Integrity Monitoring Rule Recommendations (when possible):系統將自動應用完整性監控的規則建議。 > - [ ] Scan For Recommendations(建議掃描):自動化建議評估掃描，啟動一個掃描過程，以檢測系統中可能存在的安全風險或需要改進的地方，包括應用程式漏洞、配置錯誤、或其他安全性相關的問題。 > - [ ] Clear Recommendations(清除掃描):清除或重置先前生成的建議列表。  :::