查看受感染主机并对其采取措施
通过导航到“缓解>受感染主机”选项卡来查看受感染的主机。
受感染的主机是指高度确信攻击者已获得未经授权的访问的系统。当主机遭到入侵时,攻击者可以对计算机执行多项操作,例如:
发送垃圾邮件以攻击其他系统或分发非法软件。
收集个人信息,例如密码和帐号。
禁用计算机的安全设置以允许轻松访问。
在缓解>受感染的主机选项卡中,您可以查看受感染的主机并设置调查和缓解的状态。
查看受感染主机列表时,单击主机的 “调查状态 ”列中的链接,将显示一个带有下拉列表的弹出窗口。您可以选择以下选项之一:“打开”、“进行中”、“已解决 - 误报”、“已解决 - 已修复”和“已解决 - 忽略”。
注意:标记为已解决的受感染主机将在“受感染的主机”选项卡中保留 60 天,但其威胁级别分数为 0。
单击 提交 按钮。
要缓解受感染的主机,请在 “事件 ”选项卡中找到事件。对于每个事件,您可以查看“ 摘要 ”选项卡(其中包含有关威胁的信息)和 “下载 ”选项卡。在“下载”选项卡中,您可以执行以下操作:
在 VirusTotal 上查找 — VirusTotal 是一个分析可疑文件和 URL 以检测恶意软件类型的网站。您还可以通过输入 URL、IP 地址、域或文件哈希来搜索此站点上的恶意软件。
下载 PCAP 跟踪 — 单击此链接可下载 SRX 系列防火墙收集的 pcap(数据包捕获)文件数据。系统将提示您保存文件。(请注意,目前没有 SRX 系列的收集器仪表板。
下载示例 - 单击此链接可下载包含恶意软件的受密码保护的压缩文件。zip 文件的密码是恶意软件 exe 文件的 SHA256 哈希(长度为 64 个字符,字母数字字符串),显示在相关文件的“下载”选项卡中。
下载行为日志 - 单击此链接可下载包含恶意软件日志信息的 zip 文件。系统将提示您保存文件。
添加到白名单 - 如果您认为文件被错误地归类为恶意软件,请点击此链接将文件添加到许可名单,以免其被阻止。
报告误报 - 单击此链接报告误报。系统将提示您创建票证并填写信息以解释问题。
有关受感染主机的详细信息
受感染的主机作为数据源(也称为信息源)列出。源列出主机的 IP 地址或 IP 子网以及威胁级别,例如 xxx.xxx.xxx.133 和威胁级别 1。识别后,ATP 设备会推荐操作,您可以在 SRX 系列防火墙上创建安全策略,以对这些受感染主机上的入站和出站流量采取强制措施。ATP Appliance 使用多个指示器,例如客户端试图联系 C&C 服务器或客户端试图下载恶意软件。
确定受感染主机并据此确定执行操作的过程如下:
步 |
描述 |
---|---|
1 |
IP 地址为 10.1.1.1 的客户端位于 SRX 系列防火墙后面,请求从互联网下载文件。 |
2 |
SRX 系列防火墙从互联网接收文件,并检查其安全策略,以查看在将文件发送到客户端之前是否需要采取任何操作。 |
3 |
SRX 系列防火墙具有 ATP 设备策略,该策略要求将刚下载的相同类型的文件发送到 ATP 设备进行检查。 此文件未缓存在 ATP 设备中,这意味着这是首次将此特定文件发送到 ATP 设备进行检查,因此 SRX 系列防火墙会在 ATP 设备执行检查时将文件发送到客户端。 |
4 |
在此示例中,ATP 设备分析确定文件的威胁级别大于指示该文件是恶意软件的阈值,并将此信息发送回 SRX 系列防火墙。 客户端被列入受感染主机列表。 |
5 |
SRX 系列防火墙使用来自 ATP 设备的受感染主机源,阻止客户端访问互联网。 客户端将保留在受感染主机列表中,直到管理员执行进一步分析并确定它是安全的。 |