Monitore ameaças
Você está aqui: Monitore > logs > ameaças.
Use a funcionalidade de monitoramento para visualizar as ameaças de segurança. As ameaças são definidas como qualquer IPS, tela, inteligência de segurança, antivírus, filtragem de conteúdo ou antispam.
A página de ameaças está disponível em todos os firewalls da Série SRX, exceto na linha SRX5000 de dispositivos.
A Tabela 1 descreve os campos na página ameaças.
Campo |
Descrição |
|---|---|
| Última |
Selecione o horário da lista para ver a atividade em que você está mais interessado. Após a seleção do tempo, todos os dados apresentados em sua visão são atualizados automaticamente. Você também pode usar o Personalizar para definir uma data personalizada e clicar em Aplicar para visualizar as ameaças especificadas. |
| Atualizar |
Clique no ícone de atualização para obter as últimas informações sobre ameaças. |
| Mostrar colunas ocultas |
Este ícone é representado por três pontos verticais. Permite mostrar ou ocultar uma coluna na grade. |
| Exportação para CSV |
Você pode exportar os dados de ameaças para um arquivo de valor separado por vírgula (.csv). Selecione os três pontos verticais no lado direito da página e clique em Exportar para CSV. O arquivo CSV é baixado em sua máquina local. Você pode baixar apenas no máximo 100 dados de sessões. |
| Critérios de filtro |
Use a caixa de texto do filtro presente acima da grade da tabela. A pesquisa inclui os operadores lógicos como parte da corda do filtro.
Nota:
A partir da versão 23.1R1 do Junos OS, a J-Web oferece suporte aos seguintes operadores:
A J-Web também oferece suporte à Netmask na busca por endereços IP. Na caixa de texto do filtro, quando você paira sobre o ícone, ele exibe uma condição de filtro de exemplo. Quando você começa a entrar na string de pesquisa, o ícone indica se a string do filtro é válida ou não. Os seguintes filtros estão disponíveis:
|
| X |
Clique em X para limpar seu filtro de pesquisa. |
| Salvar filtro |
Clique em Salvar filtros para salvar filtros depois de especificar os critérios de filtragem. Para salvar um filtro:
|
| Filtro de carga |
Exibe a lista de filtros salvos. Passe o mouse sobre o nome do filtro salvo para visualizar a expressão de consulta. Você pode excluir o filtro salvo usando o ícone de exclusão. |
| Veja detalhes |
Ao passar o mouse sobre o arquivo PCAP, um ícone de visualização detalhada aparece antes do arquivo PCAP. Clique no ícone para visualizar os detalhes do log na página de visualização detalhada do log. Clique no ícone de download na página de visualização detalhada do log para baixar o arquivo de captura de pacotes. Se os arquivos não estiverem disponíveis, o download falhará e você receberá uma mensagem de erro.
Nota:
O ícone de download só estará disponível para os logs de ataque IPS. Para visualizar os dados de captura de pacotes na página ameaças, certifique-se de que a notificação de registro de ataques esteja habilitada. Se não:
|
| PCAP |
Clique no ícone de download para baixar o arquivo de captura de pacotes (PCAP) de ataques IPS.
Nota:
O ícone de download aparece apenas para os logs de ataque IPS. O arquivo PCAP será baixado em seu sistema a partir da pasta /var/log/pcap/ . Se os arquivos não estiverem disponíveis, o download falhará e você receberá uma mensagem de erro. |
| Tempo |
Exibe o momento em que o log de ameaças foi recebido. |
| Tipo de log |
Exibe o tipo de log de ameaças. Por exemplo, IPS, Antivírus, Antispam e assim por diante. |
| Nome |
Exibe o nome do evento. |
| Gravidade |
Exibe a gravidade da ameaça. |
| Zona de origem |
Exibe a zona de origem das ameaças. |
| IP de origem |
Exibe o endereço IP de origem de onde ocorreu o log de ameaças. |
| Porta de origem |
Exibe o número de porta da fonte. |
| Usuário |
Exibe o nome de usuário de quem o log de ameaças é gerado. |
| Zona de destino |
Exibe a zona de destino das ameaças. |
| IP de destino |
Exibe o IP de destino das ameaças que ocorreram. |
| Porta de destino |
Exibe o número de porta do destino. |
| Aplicativo |
Exibe o nome aninhado de aplicativo ou aplicativo do qual as ameaças são geradas. |
| Ação |
Exibe a ação tomada a partir das ameaças. |
| ID da sessão |
Exibe a ID da sessão de tráfego das ameaças. |
| Motivo de fechamento |
Mostra o motivo do encerramento da sessão. |
| Perfil |
Exibe o nome do perfil de ameaças. |
| Categoria |
Exibe a categoria de ameaças. |
| URL |
Exibe o nome de URL acessado que desencadeou o evento. |
| Objeto |
Exibe o nome do objeto das ameaças. |
| Interface de destino |
Exibe o nome da interface do destino. |
| Interface de origem |
Exibe o nome da interface da fonte. |
| Política |
Exibe o nome da política que desencadeou o log de ameaças. |
| Regra |
Exibe o nome de regra do log de ameaças. |
| Protocolo |
Exibe a ID de protocolo no log de ameaças. |
| CVE-ID |
Exibe as informações dos identificadores de vulnerabilidades e exposições comuns (CVE) para a ameaça. |
| Tempo eufórico |
Exibe o tempo decorrido desde o início do último intervalo. |
| ID de log de pacotes |
Exibe os pacotes que a ID recebeu antes e depois do ataque para uma análise mais offline do comportamento do invasor. |
| XFF |
Exibe o cabeçalho X-Forwarded-For (XFF) adicionado aos pacotes por um servidor proxy que inclui o endereço IP real do cliente que faz a solicitação. |
| Nome do arquivo |
Exibe o nome de arquivo do log de ameaças. |
| Argumento |
Exibe os argumentos que são passados para um evento quando ele é invocado do log de ameaças. |
| Nome da origem |
Exibe o nome da fonte de onde a ameaça é originada. |
| Nome do feed |
Exibe o nome do feed da ameaça detectada. |
| Contar |
Exibe a contagem de ameaças. |
| Tipo de mensagem |
Exibe o tipo de mensagem para a ameaça detectada. |
| HTTP Host |
Exibe a URL do host para a ameaça. |