Visão geral do mapa de ameaças
O mapa de ameaças permite visualizar regiões geográficas para tráfego de entrada e saída. Você pode visualizar eventos bloqueados e permitidos contra ameaças com base em feeds de mecanismos IPS, antivírus e antispam. Tentativas de login mal sucedidas para dispositivos também são exibidas. Uma contagem de eventos para cada objeto de ataque pode ser visualizada clicando em um local geográfico específico. Isso é útil para visualizar atividades incomuns que podem indicar um possível ataque. Se você implantou seus dispositivos de firewall em todo o mundo, você pode encontrar o país que mais está atacando seus dispositivos de firewall usando o mapa de ameaças.
Os dispositivos podem ser dispositivos raiz, sistemas lógicos (LSYS) ou sistemas de locatário (TSYS).
As ameaças são codificadas por cores e podem ser vistas na parte inferior da página. Você também tem uma visão rápida do número total de ameaças bloqueadas e permitidas, uma contagem individual de ameaças bloqueadas e permitidas para cada evento, bem como os principais dispositivos direcionados, os principais países de destino e os principais países de origem.
Você pode clicar em qualquer fonte ou ponto de destino individual no mapa para revisar informações sobre os eventos de ameaças, incluindo o número de eventos de ameaças, tipo de ameaça, tempo de eventos, IP de origem e IP de destino. Você também pode realizar análises adicionais do ataque clicando no tipo de ataque e visualizando a lista filtrada de eventos do Event Viewer.
A partir do Junos Space Security Director Release 16.1, você pode clicar em um país no mapa de ameaças para criar a respectiva página de país. Você pode ver os eventos totais de ameaças desde a meia-noite, seguidos por eventos de ameaças de entrada e saída. Você vê os cinco endereços IP de entrada e saída mais altos. Você também pode visualizar todos os endereços IP com a opção de bloquear um ou mais deles. Além disso, você pode bloquear todo o tráfego ou apenas o tráfego de entrada e saída para o país selecionado.
Clique em Ver detalhes para ver mais detalhes para o país no painel direito. Além disso, você pode ver o número total de ameaças de entrada e saída para cada evento.
A Tabela 1 descreve diferentes tipos de ameaças bloqueadas e permitidas.
Ataque |
Descrição |
|---|---|
Eventos de ameaças IPS |
Ataques de detecção e prevenção de invasões (IDP) detectados pelo módulo IDP. As informações relatadas sobre o ataque incluem:
|
Eventos de spam |
Spam de e-mail detectado com base nos e-mails de spam da lista de bloqueio. As informações relatadas sobre o ataque incluem:
|
Eventos de vírus |
Ataques de vírus detectados pelo mecanismo de antivírus. As informações relatadas sobre o ataque incluem:
|
Autenticações de dispositivos |
As mensagens de autenticação de firewall geradas devido a tentativas não autorizadas de acessar a rede. As informações relatadas contêm o motivo da falha na autenticação e a fonte da solicitação. |
Tela |
Um tipo de ameaça detectada pelos dispositivos da Série SRX. As informações relatadas sobre o ataque incluem:
|
Nuvem ATP |
Um tipo de ameaça detectada pelos dispositivos da Série SRX em colaboração com o software ATP Cloud. As informações relatadas sobre o ataque incluem:
|
Ameaças com endereços IP geográficos desconhecidos são exibidas como indefinidas.