配置更改的示例代码审核
此示例代码审核对配置机密数据的所有更改,并将日志发送到名为 Audit-File 的文件:
[edit system] syslog { file Audit-File { authorization info; change-log info; interactive-commands info; } }
此示例代码扩展了最小审核的范围,以审核对配置的所有更改,而不仅仅是机密数据,并将日志发送到名为 Audit-File 的文件:
[edit system] syslog { file Audit-File { any any; 51 authorization info; change-log any; interactive-commands info; kernel info; pfe info; } }
示例:配置更改的系统日志记录
此示例显示了一个示例配置,并对用户和机密数据进行了更改。然后,它会显示将机密数据添加到原始配置并使用 load 命令提交时发送到审计服务器的信息。
[edit system] location { country-code US; building B1; } ... login { message "UNAUTHORIZED USE OF THIS ROUTER\n\tIS STRICTLY PROHIBITED!"; user admin { uid 2000; class super-user; authentication { encrypted-password “$ABC123”; # SECRET-DATA } } password { format sha256; } } radius-server 192.0.2.15 { secret “$ABC123” # SECRET-DATA } services { ssh; } syslog { user *{ 52 any emergency; } file messages { any notice; authorization info; } file interactive-commands { interactive-commands any; } } ... ...
新配置将更改机密数据配置语句并添加新用户。
user@host# show | compare [edit system login user admin authentication] – encrypted-password “$ABC123”; # SECRET-DATA + encrypted-password “$ABC123”; # SECRET-DATA [edit system login] + user admin2 { + uid 2001; + class operator; + authentication { + encrypted-password “$ABC123”; # SECRET-DATA + } + } [edit system radius-server 192.0.2.15] – secret “$ABC123”; # SECRET-DATA + secret “$ABC123”; # SECRET-DATA
要求 | 可审核事件 | 其他审核记录 内容 | 审核记录 |
---|---|---|---|
FAU_GEN.1 |
没有 |
没有 |
|
FAU_STG.1 |
没有 |
没有 |
|
FAU_STG_EXT.1 |
没有 |
没有 |
|
FCS_CKM.1 |
没有 |
没有 |
|
FCS_CKM.2 |
没有 |
没有 |
|
FCS_CKM.4 |
没有 |
没有 |
|
FCS_COP.1/数据加密 |
没有 |
没有 |
|
FCS_COP.1/锡格根 |
没有 |
没有 |
|
FCS_COP.1/哈希 |
没有 |
没有 |
|
FCS_COP.1/KeyedHash |
没有 |
没有 |
|
FCS_IPSEC_EXT.1 |
无法建立 IPsec SA。 |
失败的原因。 |
<27>1 2022-07-25T07:40:00.019Z Proliant_Node0 kmd 20805 - - IKE 协商失败,出现错误:未选择任何建议。IKE 版本: 2, VPN: ike-vpn-devices 网关: gw-b, 本地: 10.1.5.129/500, 远程: 10.1.5.29/500, 本地 IKE-ID: 不可用, 远程 IKE-ID: 不可用, VR-ID: 0: 角色: 发起方 <27>1 2022-07-25T07:40:00.020Z Proliant_Node0 kmd 20805 - - IPSec 协商失败,出现错误:未选择任何提案。IKE 版本: 2, VPN: ike-vpn-devices 网关: gw-b, 本地: 10.1.5.129/500, 远程: 10.1.5.29/500, 本地 IKE-ID: 不可用, 远程 IKE-ID: 不可用, VR-ID: 0 |
FCS_NTP_EXT.1 |
配置新的时间服务器 删除配置的时间服务器 |
新/已删除的标识 时间服务器 |
<182>1 2023-02-22T14:23:37.828Z Proliant_Node0 mgd 12129 UI_CFG_AUDIT_OTHER [junos@2636.1.1.1.1.2.129 用户名=“acumensec” action=“set” pathname=“[系统 ntp 服务器 10.1.1.160\]” 分隔符=“” 值=“”] 用户“acumensec”设置:[系统 ntp 服务器 10.1.1.160] <182>1 2023-02-22T14:24:54.508Z Proliant_Node0 mgd 12129 UI_CFG_AUDIT_OTHER [junos@2636.1.1.1.1.2.129 用户名=“acumensec” 操作=“删除” 路径名=“[系统 NTP 服务器 10.1.1.160\]” 分隔符=“” 值=“”] 用户“敏锐秒”删除:[系统 ntp 服务器 10.1.1.160] |
FCS_RBG_EXT.1 |
没有 |
没有 |
|
FCS_SSHS_EXT.1 |
无法建立 SSH 会话 |
失败原因 |
<35>1 2021-09-27T09:41:37.763Z VSRX_TOE sshd 70783 - - 错误:PAM:来自 10.1.2.146 的 acumensec 身份验证错误 <37>1 2021-09-27T09:41:37.763Z VSRX_TOE sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.1.2.129 用户名=“acumensec” source-address=“10.1.2.146”] 从主机“10.1.2.146”登录用户“acumensec”失败 |
FDP_RIP.2 |
没有 |
没有 | |
FFW_RUL_EXT.1 |
应用配置了“日志”操作的规则 |
源地址和目标地址 源端口和目标端口 传输层协议 TOE 界面 |
日志时间:2022-11-29 10:25:35 UTC,筛选器:pfe,筛选器操作:丢弃,接口名称:reth1.0 协议名称: TCP, 数据包长度: 40, 源地址: 10.1.1.146:20, 目标地址: 10.1.3.161:1035 |
FFW_RUL_EXT.2 |
规则的动态定义 A. 届会的设立 |
没有 |
规则 <182>1 的动态定义 2023-02-22T07:12:41.900Z Proliant_Node0 mgd 13150 UI_CFG_AUDIT_OTHER [junos@2636.1.1.1.2.129 用户名=“acumensec” action=“set” pathname=“[防火墙过滤器 TCP 端口术语允许从协议 tcp\]” 分隔符=“” 值=“”] 用户“敏锐度”设置:[防火墙过滤器 TCP 端口术语允许来自协议 tcp] <182>1 2023-02-22T07:12:41.901Z Proliant_Node0 mgd 13150 UI_CFG_AUDIT_OTHER [junos@2636.1.1.1.1.2.129 用户名=“acumensec” action=“set” pathname=“[防火墙过滤器 TCP 端口术语允许从端口 0-1024\]” 分隔符=“” 值=“”] 用户“敏锐秒”设置:[防火墙过滤器 TCP 端口术语允许从端口 0-1024] <182>1 2023-02-22T07:12:49.599Z Proliant_Node0 mgd 13150 UI_CFG_AUDIT_SET [junos@2636.1.1.1.2.129 用户名=“acumensec” action=“set” pathname=“[防火墙过滤器 TCP 端口术语允许然后\]” 分隔符=“” 数据=“未配置” 值=“接受”] 用户“敏锐秒”设置: [防火墙过滤器 TCP 端口术语允许然后] 未配置 -- “接受” <182>1 2023-02-22T07:12:49.600Z Proliant_Node0 mgd 13150 UI_CFG_AUDIT_SET [junos@2636.1.1.1.1.2.129 用户名=“acumensec” action=“set” pathname=“[防火墙过滤器 TCP 端口术语允许然后\]” 分隔符=“” 数据=“未配置” 值=“日志”] 用户“敏锐秒”设置:[防火墙过滤器 TCP 端口术语允许] 未配置 -- “日志” <182>1 2023-02-22T07:13:26.841Z Proliant_Node0 mgd 13150 UI_CFG_AUDIT_OTHER [junos@2636.1.1.1.1.2.129 用户名=“acumensec” 操作=“set” 路径名=“[防火墙过滤器 TCP 端口术语拒绝协议 tcp\]” 分隔符=“” 值=“”] 用户“敏锐秒”设置:[防火墙过滤器 TCP 端口术语拒绝协议 tcp] <182>1 2023-02-22T07:13:26.841Z Proliant_Node0 mgd 13150 UI_CFG_AUDIT_OTHER [junos@2636.1.1.1.2.129 用户名=“acumensec” 操作=“set” 路径名=“[防火墙过滤器 TCP 端口术语拒绝端口 1025-65535\]” 分隔符=“” 值=“”] 用户“敏锐秒”设置:[防火墙过滤器 TCP 端口术语拒绝来自端口 1025-65535] <182>1 2023-02-22T07:13:33.651Z Proliant_Node0 mgd 13150 UI_CFG_AUDIT_OTHER [junos@2636.1.1.1.1.2.129 用户名=“acumensec” action=“set” pathname=“[防火墙过滤器 TCP 端口术语拒绝然后丢弃\]” 分隔符=“” 值=“”] 用户“敏锐秒”设置:[防火墙过滤器 TCP 端口术语拒绝然后丢弃] <182>1 2023-02-22T07:13:36.999Z Proliant_Node0 mgd 13150 UI_CFG_AUDIT_SET [junos@2636.1.1.1.1.2.129 用户名=“acumensec” 操作=“set” 路径名=“[防火墙过滤器 TCP 端口术语拒绝然后\]” 分隔符=“” 数据=“未配置” 值=“日志”] 用户“敏锐秒”设置:[防火墙过滤器 TCP 端口术语拒绝] 未配置 -- “日志” A. 届会的设立 日志时间:2022-09-14 06:03:10 UTC,筛选器:pfe,筛选器操作:接受,接口名称:reth1.0 协议名称: TCP, 数据包长度: 52, 源地址: 10.1.1.146:38452,目标地址:10.1.3.161:1023 日志时间:2022-09-14 06:11:57 UTC,筛选器:pfe,筛选器操作:丢弃,接口名称:reth1.0 协议名称:TCP,数据包长度:60,源地址:10.1.1 .146:58594,目标地址:10.1.3.161:1025 |
FIA_AFL.1 |
达到或超过登录尝试失败限制 |
尝试的来源(例如 IP 地址) |
<37>1 2021-09-29T10:45:55.798Z VSRX_TOE sshd 14027 LIBJNX_LOGIN_ACCOUNT_LOCKED [junos@2636.1.1.1.2.129 用户名=“acumensec”] 用户“acumensec”的帐户已被锁定登录 <38>1 2021-09-29T10:45:55.799Z VSRX_TOE sshd 14027 - - 来自 10.1.2.146 端口 33362 ssh2 的 acumensec 密码失败 <37>1 2021-09-29T10:46:20.818Z VSRX_TOE sshd - SSHD_LOGIN_ATTEMPTS_THRESHOLD [junos@2636.1.1.1.2.2.129 limit=“5” 用户名=“acumensec”] 用户“acumensec”达到的身份验证尝试失败阈值 (5) <38>1 2021-09-29T10:46:20.818Z VSRX_TOE sshd 14028 - - 断开连接身份验证用户敏锐度 10.1.2.146 端口 33362: 尖锐秒密码失败次数过多 |
FIA_PMG_EXT.1 |
没有 |
没有 |
|
FIA_UIA_EXT.1 |
所有使用识别和认证机制 | 尝试的来源(例如 IP 地址) | 本地成功登录 <37>1 2021-09-29T12:39:25.733Z VSRX_TOE登录 20829 - - 尝试从主机登录用户敏锐度 [未知] <38>1 2021-09-29T12:39:31.884Z VSRX_TOE登录 20829 LOGIN_INFORMATION [junos@2636.1.1.1.1.2.129 用户名=“Acumensec” 主机名=“[未知\]” tty-name=“ttyv0”] 从设备 ttyv0 上的主机 [未知] 登录的用户敏锐秒 <190>1 2021-09-29T12:39:32.226Z VSRX_TOE mgd 20847 UI_AUTH_EVENT [junos@2636.1.1.1.2.129 用户名=“acumensec” 身份验证级别=“j-super-user”] 经过身份验证的用户“acumensec”分配给类“j-super-user” <190>1 2021-09-29T12:39:32.226Z VSRX_TOE mgd 20847 UI_LOGIN_EVENT [junos@2636.1.1.1.2.129 用户名=“acumensec” class-name=“j-super-user” local-peer=“” pid=“20847” ssh-connection=“” client-mode=“cli”] 用户 'acumensec' 登录, 类 'j-super-user' [20847], ssh 连接 '', 客户端模式 'cli' 本地登录失败 <37>1 2021-09-29T12:33:50.765Z VSRX_TOE登录 20513 - - 尝试从主机登录用户敏锐度 [未知] <35>1 2021-09-29T12:33:56.858Z VSRX_TOE登录 20513 LOGIN_PAM_AUTHENTICATION_ERROR [junos@2636.1.1.1.1.2.129 用户名=“acumensec”] 用户敏锐度密码失败 <37>1 2021-09-29T12:33:56.859Z VSRX_TOE登录 20513 LOGIN_FAILED [junos@2636.1.1.1.1.2.129 用户名=“acumensec” source-address=“ttyv0”] 从主机 ttyv0 登录用户敏锐度失败 基于密码的远程成功登录 <38>1 2021-09-29T12:45:01.580Z VSRX_TOE sshd 21135 - - 从 10.1.2.146 端口 33504 SSH2 接受键盘交互/PAM以获得敏锐度 <190>1 2021-09-29T12:45:01.915Z VSRX_TOE mgd 21148 UI_AUTH_EVENT [junos@2636.1.1.1.1.2.129 用户名=“acumensec” 身份验证级别=“j-super-user”] 经过身份验证的用户“acumensec”分配给类“j-super-user” <190>1 2021-09-29T12:45:01.915Z VSRX_TOE mgd 21148 UI_LOGIN_EVENT [junos@2636.1.1.1.2.2.129 用户名=“acumensec” 类名=“j-super-user” local-peer=“” pid=“21148” ssh-connection=“10.1.2.146 33504 10.1.2.129 22” 客户端模式=“cli”] 用户 'acumensec' 登录, 类 'j-super-user' [21148], ssh 连接 '10.1.2.146 33504 10.1.2.129 22', 客户端模式 'cli' 基于密码的远程登录失败 <35>1 2021-09-29T12:43:19.559Z VSRX_TOE sshd 21040 - - 错误:PAM:来自 10.1.2.146 的 acumensec 身份验证错误 <37>1 2021-09-29T12:43:19.559Z VSRX_TOE sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.1.2.129 用户名=“acumensec” source-address=“10.1.2.146”] 从主机“10.1.2.146”登录用户“acumensec”失败 基于公钥的远程成功登录 <38>1 2021-10-07T11:03:56.574Z VSRX_TOE sshd 35243 - - 接受来自 10.1.2.146 端口 60712 SSH2 的测试人员公钥: ECDSA SHA256:i2HeKO8gDAEyR1gz0JRv4Pqi/OCoXLzcj8calZLBxW4 <190>1 2021-10-07T11:03:56.931Z VSRX_TOE mgd 35247 UI_AUTH_EVENT [junos@2636.1.1.1.2.129 用户名=“测试人员” 身份验证级别=“j-超级用户”] 经过身份验证的用户“测试器”分配给类“j-超级用户” <190>1 2021-10-07T11:03:56.931Z VSRX_TOE mgd 35247 UI_LOGIN_EVENT [junos@2636.1.1.1.2.2.129 用户名=“测试器” 类名=“J-超级用户” 本地对等方=“” pid=“35247” ssh-connection=“10.1.2.146 60712 10.1.2.129 22” 客户端模式=“cli”] 用户“测试器”登录,类“j-super-user” [35247],SSH 连接“10.1.2.146 60712 10.1.2.129 22”,客户端模式“CLI” 基于公钥的远程登录失败 <35>1 2021-10-07T10:59:02.307Z VSRX_TOE sshd 34503 - - 错误:PAM:来自 10.1.2.146 的测试人员身份验证错误 <37>1 2021-10-07T10:59:02.308Z VSRX_TOE sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.1.2.129 用户名=“测试器” 源地址=“10.1.2.146”] 从主机“10.1.2.146”登录用户“测试器”失败 |
FIA_UAU_EXT.2 |
所有使用识别和认证机制 |
尝试的来源(例如 IP 地址) |
本地成功登录 <37>1 2021-09-29T12:39:25.733Z VSRX_TOE登录 20829 - - 尝试从主机登录用户敏锐度 [未知] <38>1 2021-09-29T12:39:31.884Z VSRX_TOE登录 20829 LOGIN_INFORMATION [junos@2636.1.1.1.1.2.129 用户名=“Acumensec” 主机名=“[未知\]” tty-name=“ttyv0”] 从设备 ttyv0 上的主机 [未知] 登录的用户敏锐秒 <190>1 2021-09-29T12:39:32.226Z VSRX_TOE mgd 20847 UI_AUTH_EVENT [junos@2636.1.1.1.2.129 用户名=“acumensec” 身份验证级别=“j-super-user”] 经过身份验证的用户“acumensec”分配给类“j-super-user” <190>1 2021-09-29T12:39:32.226Z VSRX_TOE mgd 20847 UI_LOGIN_EVENT [junos@2636.1.1.1.2.129 用户名=“acumensec” class-name=“j-super-user” local-peer=“” pid=“20847” ssh-connection=“” client-mode=“cli”] 用户 'acumensec' 登录, 类 'j-super-user' [20847], ssh 连接 '', 客户端模式 'cli' 本地登录失败 <37>1 2021-09-29T12:33:50.765Z VSRX_TOE登录 20513 - - 尝试从主机登录用户敏锐度 [未知] <35>1 2021-09-29T12:33:56.858Z VSRX_TOE登录 20513 LOGIN_PAM_AUTHENTICATION_ERROR [junos@2636.1.1.1.1.2.129 用户名=“acumensec”] 用户敏锐度密码失败 <37>1 2021-09-29T12:33:56.859Z VSRX_TOE登录 20513 LOGIN_FAILED [junos@2636.1.1.1.1.2.129 用户名=“acumensec” source-address=“ttyv0”] 从主机 ttyv0 登录用户敏锐度失败 远程成功登录 <38>1 2021-09-29T12:45:01.580Z VSRX_TOE sshd 21135 - - 从 10.1.2.146 端口 33504 SSH2 接受键盘交互/PAM以获得敏锐度 <190>1 2021-09-29T12:45:01.915Z VSRX_TOE mgd 21148 UI_AUTH_EVENT [junos@2636.1.1.1.1.2.129 用户名=“acumensec” 身份验证级别=“j-super-user”] 经过身份验证的用户“acumensec”分配给类“j-super-user” <190>1 2021-09-29T12:45:01.915Z VSRX_TOE mgd 21148 UI_LOGIN_EVENT [junos@2636.1.1.1.2.2.129 用户名=“acumensec” 类名=“j-super-user” local-peer=“” pid=“21148” ssh-connection=“10.1.2.146 33504 10.1.2.129 22” 客户端模式=“cli”] 用户 'acumensec' 登录, 类 'j-super-user' [21148], ssh 连接 '10.1.2.146 33504 10.1.2.129 22', 客户端模式 'cli' 远程登录失败 <35>1 2021-09-29T12:43:19.559Z VSRX_TOE sshd 21040 - - 错误:PAM:来自 10.1.2.146 的 acumensec 身份验证错误 <37>1 2021-09-29T12:43:19.559Z VSRX_TOE sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.1.2.129 用户名=“acumensec” source-address=“10.1.2.146”] 从主机“10.1.2.146”登录用户“acumensec”失败 基于公钥的远程成功登录 <38>1 2021-10-07T11:03:56.574Z VSRX_TOE sshd 35243 - - 接受来自 10.1.2.146 端口 60712 SSH2 的测试人员公钥: ECDSA SHA256:i2HeKO8gDAEyR1gz0JRv4Pqi/OCoXLzcj8calZLBxW4 <190>1 2021-10-07T11:03:56.931Z VSRX_TOE mgd 35247 UI_AUTH_EVENT [junos@2636.1.1.1.2.129 用户名=“测试人员” 身份验证级别=“j-超级用户”] 经过身份验证的用户“测试器”分配给类“j-超级用户” <190>1 2021-10-07T11:03:56.931Z VSRX_TOE mgd 35247 UI_LOGIN_EVENT [junos@2636.1.1.1.2.2.129 用户名=“测试器” 类名=“J-超级用户” 本地对等方=“” pid=“35247” ssh-connection=“10.1.2.146 60712 10.1.2.129 22” 客户端模式=“cli”] 用户“测试器”登录,类“j-super-user” [35247],SSH 连接“10.1.2.146 60712 10.1.2.129 22”,客户端模式“CLI” 基于公钥的远程登录失败 <35>1 2021-10-07T10:59:02.307Z VSRX_TOE sshd 34503 - - 错误:PAM:来自 10.1.2.146 的测试人员身份验证错误 <37>1 2021-10-07T10:59:02.308Z VSRX_TOE sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.1.2.129 用户名=“测试器” 源地址=“10.1.2.146”] 从主机“10.1.2.146”登录用户“测试器”失败 |
FIA_UAU.7 |
没有 |
没有 |
|
FIA_X509_EXT.1/修订版 |
尝试验证证书失败 在 TOE 的信任存储区中添加、替换或删除信任锚 |
证书验证失败的原因 标识在 TOE 的信任存储中作为信任锚添加、替换或删除的证书 |
尝试验证证书失败 <27>1 2022-12-07T07:13:12.436Z Proliant_Node0 pkid 20720 PKID_CRL_CERTIFICATE_REVOKED [junos@2636.1.1.1.1.2.129 参数1=“/C=US/O=Acumen/OU=CC/CN=AcumenICA” argument2=“6b92a1eaeb70ca59”] 证书 /C=US/O=Acumen/OU=CC/CN=序列号为 0x6b92a1eaeb70ca59 的 AcumenICA 被吊销 <27>1 2022-12-07T07:13:12.437Z Proliant_Node0 kmd 85673 KMD_PEER_CERT_VERIFY_FAILED [junos@2636.1.1.1.1.2.129 网关名称=“GW-b” 本地地址=“10.1.5.129” 本地端口=“500” 远程地址=“10.1.5.251” 远程端口=“500” 名称=“10.1.5.129” 对等名称=“10.1.5.251” vrrp-group-id=“0”] 网关对等证书验证失败: gw-b,本地: 10.1.5.129/500,远程:10.1.5.251/500,本地 IKE-ID:10.1.5.129,远程 IKE-ID:10.1.5.251,VR ID:0 添加信任锚 <182>1 2023-02-22T07:21:57.600Z Proliant_Node0 mgd 13150 UI_CFG_AUDIT_SET [junos@2636.1.1.1.1.2.129 用户名=“acumensec” action=“set” pathname=“[security pki ca-profile AcumenCA ca-identity\]” 分隔符=“” data=“unconfiguration” value=“AcumenCA”] 用户“acumensec”设置:[security pki ca-profile AcumenCA ca-identity] 未配置 -- “AcumenCA” <29>1 2023-02-22T07:22:24.769Z Proliant_Node0 pkid 11250 PKID_PV_CERT_LOAD [junos@2636.1.1.1.2.129 type-string=“AcumenCA”] 证书 已成功加载 删除信任锚 <182>1 2023-02-22T07:24:47.471Z Proliant_Node0 mgd 13150 UI_CFG_AUDIT_OTHER [junos@2636.1.1.1.1.2.129 用户名=“acumensec” action=“delete” pathname=“[security pki ca-profile AcumenCA\]” 分隔符=“” 值=“”] 用户 'acumensec' 删除: [security pki ca-profile AcumenCA] <29>1 2023-02-22T07:24:56.433Z Proliant_Node0 pkid 11250 PKID_PV_CERT_DEL [junos@2636.1.1.1.2.129 type-string=“AcumenCA”] AcumenCA 的证书已删除 |
FIA_X509_EXT.2 |
没有 |
没有 |
|
FIA_X509_EXT.3 |
没有 |
没有 |
|
FMT_MOF.1/函数 |
没有 |
没有 |
|
FMT_MOF.1/手动更新 |
任何启动手动更新的尝试 |
没有 |
<190>1 2023-02-17T11:08:28.481Z Proliant_Node0 mgd 5002 UI_CHILD_START [junos@2636.1.1.1.1.2.129 命令=“/usr/libexec/ui/package”] 启动子项 '/usr/libexec/ui/package' <29>1 2023-02-17T11:08:28.484Z Proliant 节点0 mgd 9302 - - /usr/libexec/ui/package -X update -reboot /var/home/acumensec/junos-install-vsrx3-x86-64-22.2R1.9.tgz |
FMT_MOF.1/服务 |
没有 |
没有 |
|
FMT_MTD.1/核心数据 |
没有 |
没有 |
|
FMT_MTD.1/加密密钥 |
没有 |
没有 |
|
FMT_SMF.1 FMT_SMF.1/VPN FMT_SMF.1/FFW |
TSF 数据的所有管理活动(包括防火墙规则的创建、修改和删除)。 |
没有 |
能够在本地和远程管理 TOE 当地 <37>1 2021-09-29T12:39:25.733Z VSRX_TOE登录 20829 - - 尝试从主机登录用户敏锐度 [未知] <38>1 2021-09-29T12:39:31.884Z VSRX_TOE登录 20829 LOGIN_INFORMATION [junos@2636.1.1.1.1.2.129 用户名=“Acumensec” 主机名=“[未知\]” tty-name=“ttyv0”] 从设备 ttyv0 上的主机 [未知] 登录的用户敏锐秒 <190>1 2021-09-29T12:39:32.226Z VSRX_TOE mgd 20847 UI_AUTH_EVENT [junos@2636.1.1.1.2.129 用户名=“acumensec” 身份验证级别=“j-super-user”] 经过身份验证的用户“acumensec”分配给类“j-super-user” <190>1 2021-09-29T12:39:32.226Z VSRX_TOE mgd 20847 UI_LOGIN_EVENT [junos@2636.1.1.1.2.129 用户名=“acumensec” class-name=“j-super-user” local-peer=“” pid=“20847” ssh-connection=“” client-mode=“cli”] 用户 'acumensec' 登录, 类 'j-super-user' [20847], ssh 连接 '', 客户端模式 'cli' 远程 <38>1 2021-09-29T12:45:01.580Z VSRX_TOE sshd 21135 - - 从 10.1.2.146 端口 33504 SSH2 接受键盘交互/PAM以获得敏锐度 <190>1 2021-09-29T12:45:01.915Z VSRX_TOE mgd 21148 UI_AUTH_EVENT [junos@2636.1.1.1.1.2.129 用户名=“acumensec” 身份验证级别=“j-super-user”] 经过身份验证的用户“acumensec”分配给类“j-super-user” <190>1 2021-09-29T12:45:01.915Z VSRX_TOE mgd 21148 UI_LOGIN_EVENT [junos@2636.1.1.1.2.2.129 用户名=“acumensec” 类名=“j-super-user” local-peer=“” pid=“21148” ssh-connection=“10.1.2.146 33504 10.1.2.129 22” 客户端模式=“cli”] 用户 'acumensec' 登录, 类 'j-super-user' [21148], ssh 连接 '10.1.2.146 33504 10.1.2.129 22', 客户端模式 'cli' 能够配置访问横幅 <182>1 2021-10-01T10:58:24.632Z VSRX_TOE mgd 54807 UI_CFG_AUDIT_SET [junos@2636.1.1.1.2.129 用户名=“acumensec” 操作=“set” 路径名=“[系统登录消息\]” 分隔符=“\”“ 数据=”登录消息:仅允许授权用户“ 值=”这是一条登录消息。警告:仅允许授权用户!“] 用户”敏锐秒“设置:[系统登录消息] ”登录消息:仅允许授权用户 -- “这是一条登录消息。警告:只允许授权用户!” <182>1 2021-10-01T10:59:15.045Z VSRX_TOE mgd 54807 UI_CFG_AUDIT_SET [junos@2636.1.1.1.2.129 用户名=“acumensec” 操作=“set” 路径名=“[系统登录通知\]” 分隔符=“\”“ 数据=”这是 MOTD 横幅。“ 值=”这是一个 MOTD 横幅。\\n 这是 EXEC 横幅。\\n“] 用户”敏锐秒“设置: [系统登录公告] “这是 MOTD 横幅。-- “这是一个 MOTD 横幅。\n 这是执行标记。\n” 能够在会话终止或锁定之前配置会话不活动时间 <182>1 2021-10-01T09:50:49.070Z VSRX_TOE mgd 48114 UI_CFG_AUDIT_SET [junos@2636.1.1.1.2.129 用户名=“acumensec” 操作=“set” 路径名=“[系统登录类安全管理员空闲超时\]” 分隔符=“” 数据=“未配置” 值=“1”] 用户“敏锐秒”设置: [系统登录类安全管理员空闲超时] 未配置 -- “1” <14>1 2021-10-01T09:52:56.150Z VSRX_TOE -cli - UI_CLI_IDLE_TIMEOUT [junos@2636.1.1.1.1.2.129 用户名=“acumensec”] 超出用户“acumensec”的空闲超时,会话已终止 能够更新 TOE,并在安装这些更新之前使用数字签名和 [已发布哈希] 功能验证更新 <190>1 2023-02-17T11:08:28.481Z Proliant_Node0 mgd 5002 UI_CHILD_START [junos@2636.1.1.1.1.2.129 命令=“/usr/libexec/ui/package”] 启动子项 '/usr/libexec/ui/package' <29>1 2023-02-17T11:08:28.484Z Proliant 节点0 mgd 9302 - - /usr/libexec/ui/package -X update -reboot /var/home/acumensec/junos-install-vsrx3-x86-64-22.2R1.9.tgz <118>1 2023-02-17T11:16:15.726Z Proliant_Node0内核 - - - 已验证的操作系统内核-prd-x86-64-20220607 通过PackageProductionECP256_2022方法 ECDSA256+SHA256 签名 <118>1 2023-02-17T11:16:15.726Z Proliant_Node0内核 - - - 已验证的 os-libs-12-x86-64-20220607 通过PackageProductionECP256_2022方法 ECDSA256+SHA256 签名 <118>1 2023-02-17T11:16:15.726Z Proliant_Node0内核 - - - 已验证由PackageProductionECP256_2022方法 ECDSA256+SHA256 签名的 os-runtime-x86-64-20220607 <118>1 2023-02-17T11:16:15.726Z Proliant_Node0内核 - - - 已验证的 jail-runtime-x86-32-20220607 通过PackageProductionECP256_2022方法 ECDSA256+SHA256 签名 <118>1 2023-02-17T11:16:15.726Z Proliant_Node0内核 - - - 已验证 dsa-x86-64-22.9 通过PackageProductionECP256_2022方法 ECDSA256+SHA256 签名 <118>1 2023-02-17T11:16:15.726Z Proliant_Node0内核 - - - 已验证通过PackageProductionECP256_2022方法 ECDSA256+SHA256 签名的 fips-mode-x86-64-20220617 能够配置 FIA_AFL.1 的身份验证失败参数 <182>1 2023-02-22T10:37:08.552Z Proliant_Node0 mgd 12191 UI_CFG_AUDIT_SET [junos@2636.1.1.1.2.129 用户名=“acumensec” 操作=“set” 路径名=“[系统登录重试选项尝试断开连接前\]” 分隔符=“” 数据=“未配置” 值=“5”] 用户“敏锐秒”设置:[系统登录重试选项断开连接前尝试] 未配置 -- “5” <182>1 2023-02-22T10:37:08.553Z Proliant_Node0 mgd 12191 UI_CFG_AUDIT_SET [junos@2636.1.1.1.2.129 用户名=“acumensec” 操作=“set” 路径名=“[系统登录重试选项锁定期\]” 分隔符=“” 数据=“未配置” 值=“1”] 用户“敏锐秒”设置:[系统登录重试选项锁定期] 未配置 -- “1” 数据包过滤规则的定义 <182>1 2023-02-22T07:12:41.900Z Proliant_Node0 mgd 13150 UI_CFG_AUDIT_OTHER [junos@2636.1.1.1.1.2.129 用户名=“acumensec” 操作=“set” 路径名=“[防火墙过滤器 TCP 端口术语允许从协议 tcp\]” 分隔符=“” 值=“”] 用户“敏锐秒”设置:[防火墙过滤器 TCP 端口术语允许来自协议 tcp]<182>1 2023-02-22T07:12:49.599Z Proliant_Node0 mgd 13150 UI_CFG_AUDIT_SET [junos@2636.1.1.1.2.129 用户名=“acumensec” action=“set” pathname=“[防火墙过滤器 TCP 端口术语允许然后\]” 分隔符=“” 数据=“未配置” 值=“接受”] 用户“敏锐秒”设置: [防火墙过滤器 TCP 端口术语允许然后] 未配置 -- “接受” 数据包过滤规则与网络接口的关联<182>1 2023-02-22T10:46:34.748Z Proliant_Node0 mgd 12723 UI_CFG_AUDIT_SET [junos@2636.1.1.1.2.129 用户名=“acumensec” 操作=“set” 路径名=“[接口 reth1 单元 0 系列 inet 过滤器输入\]” 分隔符=“” 数据=“未配置” 值=“TCP_filter”] 用户“敏锐秒”设置:[接口 reth1 单元 0 系列 inet 滤波器输入] 未配置 -- “TCP_filter” 按优先级对数据包过滤规则进行排序 <182>1 2023-02-22T11:16:15.344Z Proliant_Node0 mgd 12723 UI_CFG_AUDIT_SET [junos@2636.1.1.1.1.2.129 用户名=“acumensec” 操作=“set” 路径名=“[防火墙系列 inet 过滤器 DST-允许术语允许然后\]” 分隔符=“” 数据=“未配置” 值=“接受”] 用户“敏锐秒”设置: [防火墙系列 Inet 过滤器 DST 允许术语允许然后] 未配置 -- “接受” <182>1 2023-02-22T11:16:39.401Z Proliant_Node0 mgd 12723 UI_CFG_AUDIT_OTHER [junos@2636.1.1.1.1.2.129 用户名=“acumensec” 操作=“set” 路径名=“[防火墙系列 inet 过滤器 DST-允许术语拒绝然后丢弃\]” 分隔符=“” 值=“”] 用户“敏锐秒”设置:[防火墙系列 Inet 过滤器 DST-允许术语拒绝然后丢弃] 能够配置防火墙规则 <182>1 2023-02-22T07:12:41.900Z Proliant_Node0 mgd 13150 UI_CFG_AUDIT_OTHER [junos@2636.1.1.1.1.2.129 用户名=“acumensec” 操作=“set” 路径名=“[防火墙过滤器 TCP 端口术语允许从协议 tcp\]” 分隔符=“” 值=“”] 用户“敏锐秒”设置:[防火墙过滤器 TCP 端口术语允许来自协议 tcp] <182>1 2023-02-22T07:12:49.599Z Proliant_Node0 mgd 13150 UI_CFG_AUDIT_SET [junos@2636.1.1.1.2.129 用户名=“acumensec” action=“set” pathname=“[防火墙过滤器 TCP 端口术语允许然后\]” 分隔符=“” 数据=“未配置” 值=“接受”] 用户“敏锐秒”设置: [防火墙过滤器 TCP 端口术语允许然后] 未配置 -- “接受” 启用、禁用应用于传感器接口的特征码,并确定 IPS 功能的行为 已启用签名 <14>1 2022-08-02T11:50:20.785Z Proliant_Node0 RT_FLOW - RT_FLOW_SESSION_CREATE [junos@2636.1.1.1.1.2.129 源地址=“10.1.1.146” 源端口=“22362” 目标地址=“10.1.5.29” 目标端口=“1” 连接标记=“0” 服务名称=“ICMP” nat-source-address=“10.1.1.146” nat-source-port=“22362” nat-destination-address=“10.1.5.29” nat-destination-port=“1”nat-connection-tag=“0” src-nat-rule-type=“N/A” src-nat-rule-name=“N/A” dst-nat-rule-type=“N/A” dst-nat-rule-name=“N/A” protocol-id=“1” policy-name=“vpn-bypass” source-zone-name=“trust” 目标区域名称=“untrust” session-id=“348283” username=“N/A” roles=“N/A” packet-incoming-interface=“reth1.0” application=“UNKNOWN”嵌套应用程序=“未知” 加密=“未知” 应用程序类别=“N/A” 应用程序子类别=“N/A” 应用程序风险=“-1” 应用程序特性=“N/A” src-vrf-grp=“N/A” dst-vrf-grp=“N/A” 隧道检查=“关闭” 隧道检查策略集=“根” 源租户=“N/A” 目标服务=“N/A”] 会话创建于 10.1.1.146/22362->10.1.5.29/1 0x0 ICMP 10.1.1.146/22362->10.1.5.29/1 0x0 N/A N/A N/A N/A 1 VPN 绕过信任 不信任 348283 N/A(N/A) reth1.0 未知 未知 未知 N/A 不适用 -1 不适用 关闭根 不适用 <14>1 2022-08-02T11:50:20.786Z Proliant_Node0 RT_IDP - IDP_ATTACK_LOG_EVENT [junos@2636.1.1.1.1.2.129 纪元时间=“1659440989” 消息类型=“SIG” 源地址=“10.1.1.146” 源端口=“22355” 目标地址=“10.1.5.29” 目标端口=“25” 协议名称=“ICMP” 服务名称=“SERVICE_IDP” 应用程序名称=“无” 规则名称=“1” 规则库名称=“IPS”策略名称=“IDP_Source” 导出 id=“1048576” 重复计数=“2” 操作=“丢弃” 威胁严重性=“信息” 攻击名称=“IPv4_source” nat-source-address=“0.0.0.0” nat-source-port=“0” nat-destination-address=“0.0.0” nat-destination-port=“0” 已用时间=“0” 入站字节数=“0” 出站字节数=“0” 入站数据包=“0” 出站数据包=“0” 源区域名称=“信任” 源接口名称=“reth1.0” 目标区域名称=“不信任” 目标接口名称=“reth2.0” 数据包日志 id=“0” alert=“yes” 用户名=“N/A” 角色=“N/A” xff-header=“N/A” cve-id=“N/A” session-id=“348238” message=“-”] IDP: 在 1659440989, 根据策略IDP_Source中规则库 IPS 的规则 1,ICMP 协议和服务SERVICE_IDP应用程序的 SIG 攻击日志 <10.1.1.146/22355->10.1.5.29/25>。攻击: id=1048576, 重复=2, 操作=DROP, 威胁严重性=INFO, 名称=IPv4_source, NAT <0.0.0.0:0->0.0.0.0:0>, 时间流逝=0, inbytes=0, outbytes=0, inpackets=0, intf:trust:reth1.0->untrust:reth2.0, packet-log-id: 0, alert=yes, username=N/A, roles=N/A, xff-header=N/A, cve-id=N/A, session-id=348238 和杂项消息 - <14>1 2022-08-02T11:50:20.786Z Proliant_Node0 RT_IDP - IDP_ATTACK_LOG_EVENT [junos@2636.1.1.1.1.2.129 纪元时间=“1659440989” 消息类型=“SIG” 源地址=“10.1.1.146” 源端口=“22355” 目标地址=“10.1.5.29” 目标端口=“25” 协议名称=“ICMP” 服务名称=“SERVICE_IDP” 应用程序名称=“无” 规则名称=“1” 规则库名称=“IPS”策略名称=“IDP_Source” 导出 id=“1048576” 重复计数=“2” 操作=“丢弃” 威胁严重性=“信息” 攻击名称=“IPv4_source” nat-source-address=“0.0.0.0” nat-source-port=“0” nat-destination-address=“0.0.0” nat-destination-port=“0” 已用时间=“0” 入站字节数=“0” 出站字节数=“0” 入站数据包=“0” 出站数据包=“0” 源区域名称=“信任” 源接口名称=“reth1.0” 目标区域名称=“不信任” 目标接口名称=“reth2.0” 数据包日志 id=“0” alert=“yes” 用户名=“N/A” 角色=“N/A” xff-header=“N/A” cve-id=“N/A” session-id=“348238” message=“-”] IDP: 在 1659440989, 根据策略IDP_Source中规则库 IPS 的规则 1,ICMP 协议和服务SERVICE_IDP应用程序的 SIG 攻击日志 <10.1.1.146/22355->10.1.5.29/25>。攻击: id=1048576, 重复=2, 操作=DROP, 威胁严重性=INFO, 名称=IPv4_source, NAT <0.0.0.0:0->0.0.0.0:0>, 时间流逝=0, inbytes=0, outbytes=0, inpackets=0, intf:trust:reth1.0->untrust:reth2.0, packet-log-id: 0, alert=yes, username=N/A, roles=N/A, xff-header=N/A, cve-id=N/A, session-id=348238 和杂项消息 - 签名已禁用 <14>1 2022-08-02T14:24:46.700Z Proliant_Node0 RT_FLOW - RT_FLOW_SESSION_CREATE [junos@2636.1.1.1.1.2.129 源地址=“10.1.1.146” 源端口=“22796” 目标地址=“10.1.5.29” 目标端口=“1” 连接标记=“0” 服务名称=“ICMP” nat-source-address=“10.1.1.146” nat-source-port=“22796” nat-destination-address=“10.1.5.29” nat-destination-port=“1”nat-connection-tag=“0” src-nat-rule-type=“N/A” src-nat-rule-name=“N/A” dst-nat-rule-type=“N/A” dst-nat-rule-name=“N/A” protocol-id=“1” policy-name=“vpn-bypass” source-zone-name=“trust” 目标区域名称=“untrust” session-id=“357681” username=“N/A” roles=“N/A” packet-incoming-interface=“reth1.0” application=“UNKNOWN”嵌套应用程序=“未知” 加密=“未知” 应用程序类别=“N/A” 应用程序子类别=“N/A” 应用程序风险=“-1” 应用程序特征=“N/A” src-vrf-grp=“N/A” dst-vrf-grp=“N/A” 隧道检查=“关闭” 隧道检查策略集=“根” 源租户=“N/A” 目标服务=“N/A”] 会话创建 10.1.1.146/22796->10.1.5.29/1 0x0 ICMP 10.1.1.146/22796->10.1.5.29/1 0x0 不适用/A 不适用/A 不适用 1 VPN 绕过信任 不信任 357681 不适用(不适用) reth1.0 未知 未知 未知 不适用 不适用 -1 不适用 不适用 不适用 修改定义要收集和分析的网络流量的以下参数:
更新(导入)签名 <182>1 2022-08-03T07:29:40.597Z Proliant_Node0 mgd 44488 UI_CFG_AUDIT_SET [junos@2636.1.1.1.2.129 用户名=“acumensec” 操作=“set” 路径名=“[安全屏幕 ID-选项预先存在\]” 分隔符=“” 数据=“未配置” 值=“报警-无丢弃”] 用户“敏锐秒”设置: [安全屏幕 ID 选项预先存在] 未配置 -- “报警-无丢弃” <182>1 2022-08-03T07:29:44.111Z Proliant_Node0 mgd 44488 UI_CFG_AUDIT_SET [junos@2636.1.1.1.1.2.129 用户名=“Acumensec” 操作=“设置” 路径名=“[安全屏幕 ID-选项 预先存在的 ip\]” 分隔符=“” 数据=“未配置” 值=“泪滴”] 用户“敏锐度”设置:[安全屏幕 ID 选项预先存在的 IP] 未配置 -- “泪滴” 创建自定义签名 <182>1 2022-08-05T12:45:03.832Z Proliant_Node0 mgd 150 UI_CFG_AUDIT_SET [junos@2636.1.1.1.2.129 用户名=“acumensec” 操作=“set” 路径名=“[安全 IDP 自定义攻击 IPv4 版本严重性\]” 分隔符=“” 数据=“未配置” 值=“信息”] 用户“敏锐度”设置:[安全 IDP 自定义攻击 IPv4 版本严重性] 未配置 -- “信息” <182>1 2022-08-05T12:45:03.832Z Proliant_Node0 mgd 150 UI_CFG_AUDIT_SET [junos@2636.1.1.1.1.2.129 用户名=“Acumensec” 操作=“set” 路径名=“[安全 IDP 自定义攻击 IPv4 版本攻击类型签名上下文\]” 分隔符=“” 数据=“未配置” 值=“数据包”] 用户“敏锐度”设置:[安全 IDP 自定义攻击 IPv4 版本攻击类型签名上下文] 未配置 -- “数据包” <182>1 2022-08-05T12:45:03.832Z Proliant_Node0 mgd 150 UI_CFG_AUDIT_SET [junos@2636.1.1.1.1.2.129 用户名=“Acumensec” 操作=“set” 路径名=“[安全 IDP 自定义攻击 IPv4 版本攻击类型签名方向\]” 分隔符=“” 数据=“未配置” 值=“任何”] 用户“敏锐秒”设置:[安全 IDP 自定义攻击 IPv4 版本攻击类型签名方向] 未配置 -- “any” <182>1 2022-08-05T12:45:03.833Z Proliant_Node0 mgd 150 UI_CFG_AUDIT_SET [junos@2636.1.1.1.2.129 用户名=“Acumensec” 操作=“set” 路径名=“[安全 IDP 自定义攻击 IPv4 版本攻击类型签名协议 IPv4 协议匹配\]” 分隔符=“” 数据=“未配置” 值=“等于”] 用户“acumensec”设置:[安全 IDP 自定义攻击 IPv4 版本攻击类型签名协议 IPv4 协议匹配] 未配置 -- ”等于” <182>1 2022-08-05T12:45:03.833Z Proliant_Node0 mgd 150 UI_CFG_AUDIT_SET [junos@2636.1.1.1.2.129 用户名=“Acumensec” 操作=“set” 路径名=“[安全 IDP 自定义攻击 IPv4 版本攻击类型签名协议 IPv4 协议值\]” 分隔符=“” 数据=“未配置” 值=“4”] 用户“敏锐秒”设置: [安全 IDP 自定义攻击 IPv4 版本攻击类型签名协议 IPv4 协议值] 未配置 -- “4" 配置异常检测 <182>1 2022-08-03T07:37:10.470Z Proliant_Node0 mgd 44488 UI_CFG_AUDIT_SET [junos@2636.1.1.1.1.2.129 用户名=“Acumensec” 操作=“设置” 路径名=“[防火墙监管器监管器吞吐量\]” 分隔符=“” 数据=“未配置” 值=“特定于过滤器”] 用户“敏锐秒”设置: [防火墙监管器监管器吞吐量] 未配置 -- “特定于过滤器” <182>1 2022-08-03T07:37:10.471Z Proliant_Node0 mgd 44488 UI_CFG_AUDIT_OTHER [junos@2636.1.1.1.1.2.129 用户名=“acumensec” action=“set” pathname=“[防火墙监管器监管器吞吐量如果超过\]” 分隔符=“” 值=“”] 用户“敏锐秒”设置:[防火墙监管器监管器吞吐量如果超过] <182>1 2022-08-03T07:37:10.471Z Proliant_Node0 mgd 44488 UI_CFG_AUDIT_SET [junos@2636.1.1.1.2.129 用户名=“acumensec” 操作=“set” 路径名=“[防火墙监管器监管器吞吐量如果超过带宽限制\]” 分隔符=“” 数据=“未配置” 值=“32k”] 用户“敏锐秒”设置: [防火墙监管器监管器吞吐量(如果超过带宽限制)] 未配置 -- “32K” <182>1 2022-08-03T07:37:10.471Z Proliant_Node0 mgd 44488 UI_CFG_AUDIT_SET [junos@2636.1.1.1.2.129 用户名=“Acumensec” 操作=“set” 路径名=“[防火墙监管器监管器吞吐量如果超过突发大小限制\]” 分隔符=“” 数据=“未配置” 值=“1500”] 用户“敏锐度”设置: [防火墙监管器监管器吞吐量,如果超过突发大小限制] 未配置 -- “1500” <182>1 2022-08-03T07:37:21.158Z Proliant_Node0 mgd 44488 UI_CFG_AUDIT_SET [junos@2636.1.1.1.1.2.129 用户名=“Acumensec” 操作=“set” 路径名=“[防火墙监管器监管器吞吐量然后\]” 分隔符=“” 数据=“未配置” 值=“丢弃”] 用户“敏锐秒”设置: [然后防火墙监管器监管器吞吐量] 未配置 -- “丢弃” 启用和禁用检测到签名或异常匹配时要执行的操作 <182>1 2023-02-22T13:04:26.115Z Proliant_Node0 mgd 12129 UI_CFG_AUDIT_SET [junos@2636.1.1.1.2.129 用户名=“Acumensec” 操作=“set” pathname=“[防火墙监管器监管器吞吐量然后\]” 分隔符=“” 数据=“未配置” 值=“丢弃”] 用户“敏锐度”设置: [然后防火墙监管器监管器吞吐量] 未配置 -- “丢弃” <182>1 2023-02-22T13:05:22.198Z Proliant_Node0 mgd 12129 UI_CFG_AUDIT_OTHER [junos@2636.1.1.1.2.129 用户名=“Acumensec” 操作=“删除” 路径名=“[防火墙监管器监管器吞吐量然后\]” 分隔符=“\”“ 值=”丢弃“] 用户”敏锐秒“删除: [然后防火墙监管器监管器吞吐量] ”丢弃 修改触发 IPS 反应的阈值 <182>1 2022-08-04T12:41:57.552Z Proliant_Node0 mgd 32710 UI_CFG_AUDIT_SET [junos@2636.1.1.1.2.129 用户名=“Acumensec” 操作=“设置” 路径名=“[服务 RPM 探测器所有者测试阈值-测试目标地址\]” 分隔符=“” 数据=“未配置” 值=“10.1.3.28”] 用户“敏锐秒”设置:[服务 RPM 探测器所有者测试阈值-测试目标地址] 未配置 -- “10.1.3.28” <182>1 2022-08-04T12:42:00.646Z Proliant_Node0 mgd 32710 UI_CFG_AUDIT_SET [junos@2636.1.1.1.2.129 用户名=“Acumensec” 操作=“设置” 路径名=“[服务 RPM 探测器所有者测试阈值-测试阈值 RTT\]” 分隔符=“” 数据=“未配置” 值=“50”] 用户“敏锐秒”设置:[服务 RPM 探测器所有者测试阈值-测试阈值 RTT] 未配置 -- “50” 修改流量阻止操作的持续时间 <182>1 2023-02-22T13:11:01.830Z Proliant_Node0 mgd 12129 UI_CFG_AUDIT_OTHER [junos@2636.1.1.1.1.2.129 用户名=“acumensec” action=“set” pathname=“[schedulers scheduler schedule-星期二 星期二 开始时间 16:00 停止时间 16:30\]” 分隔符=“” value=“”] 用户“acumensec”设置: [调度程序 调度程序 时间表-星期二 星期二 开始时间 16:00 停止时间 16:30] <182>1 2023-02-22T13:11:15.282Z Proliant_Node0 mgd 12129 UI_CFG_AUDIT_SET [junos@2636.1.1.1.2.129 用户名=“acumensec” 操作=“set” 路径名=“[从区域信任到区域不信任策略的安全策略 VPN 拒绝调度程序名称\]” 分隔符=“” 数据=“未配置” 值=“计划-星期二”] 用户“敏锐秒”设置: [从区域信任到区域不信任策略 VPN 拒绝调度程序名称的安全策略] 未配置 -- ”时间表-星期二” 修改已知良好和已知错误列表(IP 地址或地址范围) <182>1 2023-02-22T13:15:58.342Z Proliant_Node0 mgd 12129 UI_CFG_AUDIT_SET [junos@2636.1.1.1.1.2.129 用户名=“Acumensec” 操作=“set” 路径名=“[安全地址簿 book3 地址已知良好\]” 分隔符=“” 数据=“未配置” 值=“10.1.1.146/32”] 用户“敏锐秒”设置: [安全地址簿3地址已知良好] 未配置 -- “10.1.1.146/32” <182>1 2022-08-04T13:06:56.602Z Proliant_Node0 mgd 32710 UI_CFG_AUDIT_SET [junos@2636.1.1.1.1.2.129 用户名=“Acumensec” 操作=“set” 路径名=“[安全地址簿 book3 地址已知错误\]” 分隔符=“” 数据=“未配置” 值=“10.1.3.161/32”] 用户“敏锐度”设置:[安全地址簿 book3 地址已知错误] 未配置 -- “10.1.3.161/32” 配置已知良好和已知错误列表以覆盖基于签名的 IPS 策略 <14>1 2022-08-05T10:14:49.398Z Proliant_Node0 RT_FLOW - RT_FLOW_SESSION_DENY [junos@2636.1.1.1.1.2.129 源地址=“10.1.1.146” 源端口=“0” 目标地址=“10.1.3.161” 目标端口=“0” 连接标记=“0” 服务名称=“ICMP” 协议 ID=“1” ICMP 类型=“8” 策略名称=“已知错误策略” 源区域名称=“信任” 目标区域名称=“不信任”“ application=”UNKNOWN“ nested-application=”UNKNOWN“ username=”N/A“ roles=”N/A“ packet-incoming-interface=”reth1.0“ encrypted=”no“ reason=”Deny Policy“ session-id=”163556“ application-category=”N/A“ application-sub-category=”N/A“ application-risk=”-1“ application-features=”N/A“ src-vrf-grp=”N/A“ dst-vrf-grp=”N/A“ source-tenant=”N/A“ destination-service=”N/A“] 会话被拒绝 10.1.1.146/0->10.1.3.161/0 0x0 ICMP 1(8) 已知错误策略信任 不信任 未知 未知 N/A(N/A) RETH1.0 否 被策略拒绝 163556 不适用 不适用 -1 不适用 <14>1 2022-08-05T10:55:54.403Z Proliant_Node0 RT_FLOW - RT_FLOW_SESSION_CREATE [junos@2636.1.1.1.1.2.129 源地址=“10.1.3.161” 源端口=“0” 目标地址=“10.1.1.146” 目标端口=“0” 连接标记=“0” 服务名称=“ICMP” nat-source-address=“10.1.3.161” nat-source-port=“0” nat-destination-address=“10.1.1.146” nat-destination-port=“0”nat-connection-tag=“0” src-nat-rule-type=“N/A” src-nat-rule-name=“N/A” dst-nat-rule-type=“N/A” dst-nat-rule-name=“N/A” protocol-id=“1” policy-name=“known-good-policy” source-zone-name=“untrust” 目标区域名称=“trust” session-id=“168100” username=“N/A” roles=“N/A” packet-incoming-interface=“reth2.0” application=“UNKNOWN“ 嵌套应用程序=”未知“ 加密=”未知“ 应用程序类别=”N/A“ 应用程序子类别=”N/A“ 应用程序风险=”-1“ 应用程序特征=”N/A“ src-vrf-grp=”N/A“ dst-vrf-grp=”N/A“ 隧道检查=”关闭“ 隧道检查策略集=”根“ 源租户=”N/A“ 目标服务=”N/A“] 会话创建于 10.1.3.161/0->10.1.1.146/0 0x0 ICMP 10.1.3.161/0->10.1.1.146/0 0x0 不适用 1 已知良好策略 不信任信任 168100 不适用(不适用) reth2.0 未知 未知 未知 不适用 不适用 -1 不适用 不适用 根 不适用 能够管理受信任的公钥数据库 <182>1 2023-11-29T07:39:02.630Z Proliant_Node0 mgd 69627 UI_CFG_AUDIT_OTHER [junos@2636.1.1.1.1.2.129 用户名=“acumensec” 操作=“set” 路径名=“[系统登录用户测试器身份验证 ssh-ecdsa /* SECRET-DATA */\]” 分隔符=“” 值=“”] 用户“敏锐秒”设置:[系统登录用户测试器身份验证 ssh-ecdsa /* 秘密数据 */] 能够管理加密密钥 <38>1 2023-02-22T13:21:52.110Z Proliant_Node0 ssh-keygen 13377 - - 生成的带有指纹的 SSH 密钥文件 /etc/ssh/fips_ssh_host_ecdsa_key.pub SHA256:QwCmhn5oD41IhNSSFGmjSIq0EKmubD6K71wlPtO+hEw 能够配置加密功能 <190>1 2021-10-01T09:05:59.503Z VSRX_TOE mgd 46513 UI_CMDLINE_READ_LINE [junos@2636.1.1.1.1.2.129 用户名=“acumensec” 命令=“设置系统服务 SSH 密码 AES128-CBC ”] 用户 'acumensec', 命令 'set system services ssh 密码 aes128-cbc ' 能够配置 IPsec SA 的生存期 <182>1 2023-02-22T13:59:57.731Z Proliant_Node0 mgd 12129 UI_CFG_AUDIT_SET [junos@2636.1.1.1.2.2.129 用户名=“Acumensec” 操作=“set” 路径名=“[安全 IPsec 提议 IPsec-设备-提议生存期-秒\]” 分隔符=“” 数据=“未配置” 值=“28800”] 用户“敏锐度”设置:[安全 IPsec 建议 IPsec 设备建议生存期秒] 未配置 -- “28800” 能够将 X.509v3 证书导入 TOE 的信任存储区 <29>1 2022-12-07T09:45:49.144Z Proliant_Node0 pkid 20720 PKID_PV_CERT_LOAD [junos@2636.1.1.1.2.129 type-string=“AcumenICA”] 证书 AcumenICA 已成功加载 能够启动和停止服务 <190>1 2021-09-30T10:31:50.410Z VSRX_TOE mgd 82886 UI_CMDLINE_READ_LINE [junos@2636.1.1.1.1.2.129 用户名=“acumensec” 命令=“设置系统服务 ssh ”] 用户 'acumensec', 命令 'set system services ssh' 能够修改将审核数据传输到外部 IT 实体的行为、审核数据的处理、本地审核存储空间已满时的审核功能 <182>1 2023-02-22T14:07:52.135Z Proliant_Node0 mgd 12129 UI_CFG_AUDIT_OTHER [junos@2636.1.1.1.1.2.129 用户名=“acumensec” action=“set” pathname=“[system services netconf ssh\]” 分隔符=“” 值=“”] 用户“敏锐秒”设置:[系统服务网络会议 ssh] <182>1 2023-02-22T14:05:18.020Z Proliant_Node0 mgd 12129 UI_CFG_AUDIT_SET [junos@2636.1.1.1.1.2.129 用户名=“acumensec” 操作=“set” 路径名=“[系统系统日志文件审核日志存档大小\]” 分隔符=“” 数据=“未配置” 值=“65536”] 用户“敏锐度”设置:[系统系统日志文件审核日志存档大小] 未配置 -- “65536” <182>1 2023-02-22T14:05:18.020Z Proliant_Node0 mgd 12129 UI_CFG_AUDIT_SET [junos@2636.1.1.1.1.2.129 用户名=“acumensec” 操作=“set” pathname=“[系统系统日志文件审核日志存档文件\]” 分隔符=“” 数据=“未配置” 值=“3”] 用户“敏锐度”设置:[系统系统日志文件审核日志存档文件] 未配置 -- “3” 能够为 SSH 重新生成密钥配置阈值 <182>1 2023-02-22T14:11:10.922Z Proliant_Node0 mgd 12129 UI_CFG_AUDIT_SET [junos@2636.1.1.1.2.129 用户名=“acumensec” 操作=“set” 路径名=“[系统服务 SSH 重新生成密钥数据限制\]” 分隔符=“” 数据=“未配置” 值=“6553600”] 用户“敏锐度”设置: [系统服务 SSH 重新密钥数据限制] 未配置 -- “6553600” 能够重新启用管理员帐户 <37>1 2021-10-11T12:47:25.700Z VSRX_TOE sshd 9848 LIBJNX_LOGIN_ACCOUNT_UNLOCKED [junos@2636.1.1.1.2.129 用户名=“acumensec”] 用户“acumensec”的帐户已解锁登录 能够设置用于时间戳的时间 <190>1 2021-10-05T06:21:00.970Z VSRX_TOE mgd 21760 UI_CMDLINE_READ_LINE [junos@2636.1.1.1.1.2.129 用户名=“acumensec” 命令=“运行设置日期 202110050630.00 ”] 用户 'acumensec',命令 '运行设置日期 202110050630.00 ' <190>1 2021-10-05T06:21:00.989Z VSRX_TOE mgd 21760 UI_CHILD_START [junos@2636.1.1.1.2.129 命令=“/bin/date”] 起始子项“/bin/date” <37>1 2021-10-05T06:30:00.000Z VSRX_TOE日期 21937 - - 由 root 设置的日期 <190>1 2021-10-05T06:30:00.002Z VSRX_TOE mgd 21760 UI_CHILD_STATUS [junos@2636.1.1.1.1.2.129 命令=“/bin/date” pid=“21937” status-code=“512”] 清理子项“/bin/date”,PID 21937,状态0x200 <29>1 2021-10-05T06:30:00.002Z VSRX_TOE mgd 21760 UI_CHILD_EXITED [junos@2636.1.1.1.2.129 pid=“21937” 返回值=“2” 核心转储状态=“” 命令=“/bin/date”] 子级已退出:PID 21937,状态 2,命令“/bin/date” <30>1 2021-10-05T06:30:00.015Z VSRX_TOE nsd 23326 NSD_SYS_TIME_CHANGE - 系统时间已更改。 能够配置 NTP <182>1 2023-02-22T14:23:37.828Z Proliant_Node0 mgd 12129 UI_CFG_AUDIT_OTHER [junos@2636.1.1.1.1.2.129 用户名=“acumensec” action=“set” pathname=“[系统 ntp 服务器 10.1.1.160\]” 分隔符=“” 值=“”] 用户“acumensec”设置:[系统 ntp 服务器 10.1.1.160] <182>1 2023-02-22T14:24:54.508Z Proliant_Node0 mgd 12129 UI_CFG_AUDIT_OTHER [junos@2636.1.1.1.1.2.129 用户名=“acumensec” 操作=“删除” 路径名=“[系统 NTP 服务器 10.1.1.160\]” 分隔符=“” 值=“”] 用户“敏锐秒”删除:[系统 ntp 服务器 10.1.1.160] 能够为对等方配置参考标识符 <182>1 2023-11-29T07:29:05.116Z Proliant_Node0 mgd 69627 UI_CFG_AUDIT_SET [junos@2636.1.1.1.1.2.129 用户名=“Acumensec” 操作=“set” 路径名=“[安全 IKE 网关 GW-B 远程身份 inet\]” 分隔符=“” 数据=“未配置” 值=“10.1.5.251”] 用户“acumensec”设置:[安全 IKE 网关 GW-B 远程身份 inet] 未配置 -- “10.1.5.251” 能够管理 TOE 的信任存储并将 X509.v3 证书指定为信任锚 <182>1 2023-02-22T07:21:57.600Z Proliant_Node0 mgd 13150 UI_CFG_AUDIT_SET [junos@2636.1.1.1.1.2.129 用户名=“acumensec” action=“set” pathname=“[security pki ca-profile AcumenCA ca-identity\]” 分隔符=“” data=“unconfiguration” value=“AcumenCA”] 用户“acumensec”设置:[security pki ca-profile AcumenCA ca-identity] 未配置 -- “AcumenCA” <29>1 2023-02-22T07:22:24.769Z Proliant_Node0 pkid 11250 PKID_PV_CERT_LOAD [junos@2636.1.1.1.2.129 type-string=“AcumenCA”] 证书 已成功加载 |
FMT_SMF.1/IPS |
修改 IPS 策略元素。 |
已修改的 IPS 策略元素的标识符或名称(例如,修改了哪个签名、基线或已知良好/已知不良列表)。 |
<182>1 2023-02-22T11:44:10.082Z Proliant_Node0 mgd 12723 UI_CFG_AUDIT_SET [junos@2636.1.1.1.2.129 用户名=“Acumensec” 操作=“set” 路径名=“[安全 IDP 自定义攻击 IPv4-SRC 攻击类型签名协议 IPv4 源匹配\]” 分隔符=“” 数据=“未配置” 值=“等于”] 用户“敏锐秒”设置: [安全 IDP 自定义攻击 IPv4-SRC 攻击类型签名协议 IPv4 源匹配] 未配置 -- “等于” <182>1 2023-02-22T11:44:10.083Z Proliant_Node0 mgd 12723 UI_CFG_AUDIT_SET [junos@2636.1.1.1.2.129 用户名=“acumensec” 操作=“set” 路径名=“[安全 IDP 自定义攻击 IPv4-SRC 攻击类型签名协议 IPv4 源值\]” 分隔符=“” 数据=“未配置” 值=“10.1.1.146”] 用户“敏锐度”设置:[安全 IDP 自定义攻击 IPv4-src 攻击类型签名协议 IPv4 源值] 未配置 -- ”10.1.1.146” |
FMT_SMR.2 |
没有 |
没有 |
|
FPF_RUL_EXT.1 |
应用配置了“日志”操作的规则 |
源地址和目标地址 源端口和目标端口 传输层协议 |
日志时间:2022-11-29 10:25:35 UTC,筛选器:pfe,筛选器操作:丢弃,接口名称:reth1.0 协议名称: TCP, 数据包长度: 40, 源地址: 10.1.1.146:20, 目标地址: 10.1.3.161:1035 |
FPT_SKP_EXT.1 |
没有 |
没有 |
|
FPT_APW_EXT.1 |
没有 |
没有 |
|
FPT_TST_EXT.1 |
没有 |
没有 |
|
FPT_STM_EXT.1 |
时间的不连续更改 - 管理员驱动或通过自动化过程更改 (请注意,不需要记录对时间的连续更改。另见FPT_STM_EXT.1)上的应用笔记 |
对于时间的不连续变化:时间的旧值和新值。尝试更改成功和失败时间的来源(例如,IP 地址)。 |
<190>1 2021-10-05T06:21:00.970Z VSRX_TOE mgd 21760 UI_CMDLINE_READ_LINE [junos@2636.1.1.1.1.2.129 用户名=“acumensec” 命令=“运行设置日期 202110050630.00 ”] 用户 'acumensec',命令 '运行设置日期 202110050630.00 ' <190>1 2021-10-05T06:21:00.989Z VSRX_TOE mgd 21760 UI_CHILD_START [junos@2636.1.1.1.2.129 命令=“/bin/date”] 起始子项“/bin/date” <37>1 2021-10-05T06:30:00.000Z VSRX_TOE日期 21937 - - 由 root 设置的日期 <190>1 2021-10-05T06:30:00.002Z VSRX_TOE mgd 21760 UI_CHILD_STATUS [junos@2636.1.1.1.1.2.129 命令=“/bin/date” pid=“21937” status-code=“512”] 清理子项“/bin/date”,PID 21937,状态0x200 <29>1 2021-10-05T06:30:00.002Z VSRX_TOE mgd 21760 UI_CHILD_EXITED [junos@2636.1.1.1.2.129 pid=“21937” 返回值=“2” 核心转储状态=“” 命令=“/bin/date”] 子级已退出:PID 21937,状态 2,命令“/bin/date” <30>1 2021-10-05T06:30:00.015Z VSRX_TOE nsd 23326 NSD_SYS_TIME_CHANGE - 系统时间已更改。 |
FPT_TUD_EXT.1 |
开始更新;更新尝试的结果(成功或失败) |
没有 |
<190>1 2023-02-17T11:08:28.481Z Proliant_Node0 mgd 5002 UI_CHILD_START [junos@2636.1.1.1.1.2.129 命令=“/usr/libexec/ui/package”] 启动子项 '/usr/libexec/ui/package' <29>1 2023-02-17T11:08:28.484Z Proliant 节点0 mgd 9302 - - /usr/libexec/ui/package -X update -reboot /var/home/acumensec/junos-install-vsrx3-x86-64-22.2R1.9.tgz |
FTA_SSL.3 |
通过会话锁定机制终止远程会话 |
没有 |
<14>1 2021-10-01T09:52:56.150Z VSRX_TOE -cli - UI_CLI_IDLE_TIMEOUT [junos@2636.1.1.1.1.2.129 用户名=“acumensec”] 超出用户“acumensec”的空闲超时,会话已终止 <190>1 2021-10-01T09:52:56.158Z VSRX_TOE mgd 49989 UI_LOGOUT_EVENT [junos@2636.1.1.1.2.129 用户名=“acumensec”] 用户“acumensec”注销 |
FTA_SSL.4 |
交互式会话的终止 |
没有 |
<190>1 2021-10-01T10:08:16.234Z VSRX_TOE mgd 51170 UI_CMDLINE_READ_LINE [junos@2636.1.1.1.2.129 用户名=“acumensec” 命令=“退出”] 用户 'acumensec', 命令 'exit ' <190>1 2021-10-01T10:08:16.235Z VSRX_TOE mgd 51170 UI_LOGOUT_EVENT [junos@2636.1.1.1.2.129 用户名=“acumensec”] 用户“acumensec”注销 |
FTA_SSL_EXT.1(如果选择了“终止会话”) |
通过会话锁定机制终止本地会话 |
没有 |
<14>1 2021-10-01T10:37:08.360Z VSRX_TOE -cli - UI_CLI_IDLE_TIMEOUT [junos@2636.1.1.1.1.2.129 用户名=“acumensec”] 超出用户“acumensec”的空闲超时,会话已终止 <190>1 2021-10-01T10:37:08.360Z VSRX_TOE mgd 53004 UI_LOGOUT_EVENT [junos@2636.1.1.1.1.2.129 用户名=“acumensec”] 用户“acumensec”注销 |
FTA_TAB.1 |
没有 |
没有 |
|
FTP_ITC.1 |
启动可信通道 受信任通道的终止 可信通道功能失败 |
识别可信通道建立尝试失败的启动方和目标 |
启动 <38>1 2021-09-27T09:25:13.032Z VSRX_TOE sshd 70000 - - 从 10.1.2.146 端口 59010 SSH2 开始接受键盘交互/PAM以获得敏锐度秒 <190>1 2021-09-27T09:25:13.361Z VSRX_TOE mgd 70011 UI_AUTH_EVENT [junos@2636.1.1.1.1.2.129 用户名=“acumensec” 身份验证级别=“j-super-user”] 经过身份验证的用户“acumensec”分配给类“j-super-user” <190>1 2021-09-27T09:25:13.362Z VSRX_TOE mgd 70011 UI_LOGIN_EVENT [junos@2636.1.1.1.1.2.129 用户名=“acumensec” class-name=“j-super-user” local-peer=“” pid=“70011” ssh-connection=“10.1.2.146 59010 10.1.2.129 22” 客户端模式=“cli”] 用户 'acumensec' 登录, 类 'j-super-user' [70011], ssh 连接 '10.1.2.146 59010 10.1.2.129 22', 客户端模式 'cli' 失败 <35>1 2021-09-27T09:41:37.763Z VSRX_TOE sshd 70783 - - 错误:PAM:来自 10.1.2.146 的 acumensec 身份验证错误 <37>1 2021-09-27T09:41:37.763Z VSRX_TOE sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.1.2.129 用户名=“acumensec” source-address=“10.1.2.146”] 从主机“10.1.2.146”登录用户“acumensec”失败 <35>1 2021-09-27T09:41:41.966Z VSRX_TOE sshd 70783 - - 错误:PAM:来自 10.1.2.146 的 acumensec 身份验证错误 <37>1 2021-09-27T09:41:41.966Z VSRX_TOE sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.1.2.129 用户名=“acumensec” 源地址=“10.1.2.146”] 从主机“10.1.2.146”登录用户“acumensec”失败 <35>1 2021-09-27T09:41:50.812Z VSRX_TOE sshd 70783 - - 错误:PAM:来自 10.1.2.146 的 acumensec 身份验证错误 <37>1 2021-09-27T09:41:50.812Z VSRX_TOE sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.1.2.129 用户名=“acumensec” 源地址=“10.1.2.146”] 从主机“10.1.2.146”登录用户“acumensec”失败 终止 <37>1 2021-09-29T10:45:55.798Z VSRX_TOE sshd 14027 LIBJNX_LOGIN_ACCOUNT_LOCKED [junos@2636.1.1.1.2.129 用户名=“acumensec”] 用户“acumensec”的帐户已被锁定登录 <38>1 2021-09-29T10:45:55.799Z VSRX_TOE sshd 14027 - - 来自 10.1.2.146 端口 33362 ssh2 的 acumensec 密码失败 <37>1 2021-09-29T10:46:20.818Z VSRX_TOE sshd - SSHD_LOGIN_ATTEMPTS_THRESHOLD [junos@2636.1.1.1.2.2.129 limit=“5” 用户名=“acumensec”] 用户“acumensec”达到的身份验证尝试失败阈值 (5) <38>1 2021-09-29T10:46:20.818Z VSRX_TOE sshd 14028 - - 断开连接身份验证用户敏锐度 10.1.2.146 端口 33362: 尖锐秒密码失败次数过多 <38>1 2021-09-29T10:46:20.819Z VSRX_TOE sshd 14027 - - 断开连接身份验证用户敏锐秒 10.1.2.146 端口 33362: acumensec 的密码失败次数过多 [preauth] |
FTP_TRP.1/管理员 |
启动可信路径 终止可信路径。 可信路径功能失败。 |
没有 |
启动 <38>1 2021-10-01T11:07:41.592Z VSRX_TOE sshd 55853 - - 从 10.1.2.146 端口 35880 SSH2 开始接受键盘交互/PAM以获得敏锐度秒 <190>1 2021-10-01T11:07:41.942Z VSRX_TOE mgd 55864 UI_AUTH_EVENT [junos@2636.1.1.1.2.129 用户名=“acumensec” 身份验证级别=“j-super-user”] 经过身份验证的用户“acumensec”分配给类“j-super-user” <190>1 2021-10-01T11:07:41.942Z VSRX_TOE mgd 55864 UI_LOGIN_EVENT [junos@2636.1.1.1.1.2.129 用户名=“acumensec” class-name=“j-super-user” local-peer=“” pid=“55864” ssh-connection=“10.1.2.146 35880 10.1.2.129 22” 客户端模式=“cli”] 用户 'acumensec' 登录, 类 'j-super-user' [55864], ssh 连接 '10.1.2.146 35880 10.1.2.129 22', 客户端模式 'cli' 失败 <35>1 2021-09-27T09:41:37.763Z VSRX_TOE sshd 70783 - - 错误:PAM:来自 10.1.2.146 的 acumensec 身份验证错误 <37>1 2021-09-27T09:41:37.763Z VSRX_TOE sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.1.2.129 用户名=“acumensec” source-address=“10.1.2.146”] 从主机“10.1.2.146”登录用户“acumensec”失败 <35>1 2021-09-27T09:41:41.966Z VSRX_TOE sshd 70783 - - 错误:PAM:来自 10.1.2.146 的 acumensec 身份验证错误 <37>1 2021-09-27T09:41:41.966Z VSRX_TOE sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.1.2.129 用户名=“acumensec” 源地址=“10.1.2.146”] 从主机“10.1.2.146”登录用户“acumensec”失败 <35>1 2021-09-27T09:41:50.812Z VSRX_TOE sshd 70783 - - 错误:PAM:来自 10.1.2.146 的 acumensec 身份验证错误 <37>1 2021-09-27T09:41:50.812Z VSRX_TOE sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.1.2.129 用户名=“acumensec” 源地址=“10.1.2.146”] 从主机“10.1.2.146”登录用户“acumensec”失败 终止 <37>1 2021-09-29T10:45:55.798Z VSRX_TOE sshd 14027 LIBJNX_LOGIN_ACCOUNT_LOCKED [junos@2636.1.1.1.2.129 用户名=“acumensec”] 用户“acumensec”的帐户已被锁定登录 <38>1 2021-09-29T10:45:55.799Z VSRX_TOE sshd 14027 - - 来自 10.1.2.146 端口 33362 ssh2 的 acumensec 密码失败 <37>1 2021-09-29T10:46:20.818Z VSRX_TOE sshd - SSHD_LOGIN_ATTEMPTS_THRESHOLD [junos@2636.1.1.1.2.2.129 limit=“5” 用户名=“acumensec”] 用户“acumensec”达到的身份验证尝试失败阈值 (5) <38>1 2021-09-29T10:46:20.818Z VSRX_TOE sshd 14028 - - 断开连接身份验证用户敏锐度 10.1.2.146 端口 33362: 尖锐秒密码失败次数过多 <38>1 2021-09-29T10:46:20.819Z VSRX_TOE sshd 14027 - - 断开连接身份验证用户敏锐秒 10.1.2.146 端口 33362: acumensec 的密码失败次数过多 [preauth] |
IPS 日志 | |||
FMT_SMF.1/IPS |
修改 IPS 策略元素。 | 已修改的 IPS 策略元素的标识符或名称(例如,修改了哪个签名、基线或已知良好/已知-错误列表)。 | <182>1 2022-08-05T12:47:47.327Z Proliant_Node0 mgd 150 UI_CFG_AUDIT_SET [junos@2636.1.1.1.2.129 用户名=“Acumensec” 操作=“set” 路径名=“[安全 IDP IDP 策略拒绝策略规则库 IPS 规则 规则 1 匹配来自区域\]” 分隔符=“” 数据=“未配置” 值=“任何”] 用户“敏锐秒”设置:[安全 IDP IDP 策略拒绝策略规则库 IPS 规则 规则 1 与区域匹配] 未配置 -- “任何” |
IPS_ABD_EXT.1 | 经过检查的流量与基于异常的 IPS 策略匹配。 | 源和目标 IP 地址。 确定为与策略匹配的标头字段的内容。 接收数据包的 TOE 接口 触发事件的基于异常的 IPS 策略规则的各个方面(例如吞吐量、一天中的时间、频率等)。 TOE 基于网络的操作(例如,允许、阻止、向源 IP 发送重置、向防火墙发送阻止通知)1。 |
<14>1 2022-08-04T10:58:34.276Z Proliant_Node0 RT_FLOW - RT_FLOW_SESSION_DENY [junos@2636.1.1.1.2.129 源地址=“2001:10:1:3:0:0:0:28” 源端口=“0” 目标地址=“2001:10:1:1:0:0:0:128” 目标端口=“0” 连接标记=“0” 服务名称=“ICMPV6” 协议 ID=“58” ICMP 类型=“128” 策略名称=“计划” 源区域名称=“不信任”目标区域名称=“信任” 应用程序=“未知” 嵌套应用程序=“未知” 用户名=“N/A” 角色=“N/A” 数据包传入接口=“reth2.0” 加密=“否” 原因=“被策略拒绝” session-id=“21108” 应用程序类别=“N/A” 应用程序子类别=“N/A” 应用程序风险=“-1” 应用程序特征=“N/A” src-vrf-grp=“N/A” dst-vrf-grp=“N/A” source-tenant=“N/A” destination-service=“N/A”] 会话被拒绝 2001:10:1:3:0:0:0:28/0->2001:10:1:1:0:0:0:128/0 0x0 ICMPV6 58(128) 附表 不信任信任 未知 未知 N/A(N/A) reth2.0 否 被策略拒绝 21108 不适用 不适用 -1 不适用 不适用 不适用 |
IPS_IPB_EXT.1 | 已检查的流量与应用于 IPS 策略的已知良好或已知错误地址列表匹配。 | 源和目标 IP 地址(以及源和/或目标地址是否与列表匹配的指示(如果适用)。 接收数据包的 TOE 接口。 TOE 基于网络的操作(例如允许、阻止、发送重置)。 |
<14>1 2022-08-05T10:55:54.403Z Proliant_Node0 RT_FLOW - RT_FLOW_SESSION_CREATE [junos@2636.1.1.1.1.2.129 源地址=“10.1.3.161” 源端口=“0” 目标地址=“10.1.1.146” 目标端口=“0” 连接标记=“0” 服务名称=“ICMP” nat-source-address=“10.1.3.161” nat-source-port=“0” nat-destination-address=“10.1.1.146” nat-destination-port=“0”nat-connection-tag=“0” src-nat-rule-type=“N/A” src-nat-rule-name=“N/A” dst-nat-rule-type=“N/A” dst-nat-rule-name=“N/A” protocol-id=“1” policy-name=“known-good-policy” source-zone-name=“untrust” 目标区域名称=“trust” session-id=“168100” username=“N/A” roles=“N/A” packet-incoming-interface=“reth2.0” application=“UNKNOWN“ 嵌套应用程序=”未知“ 加密=”未知“ 应用程序类别=”N/A“ 应用程序子类别=”N/A“ 应用程序风险=”-1“ 应用程序特征=”N/A“ src-vrf-grp=”N/A“ dst-vrf-grp=”N/A“ 隧道检查=”关闭“ 隧道检查策略集=”根“ 源租户=”N/A“ 目标服务=”N/A“] 会话创建于 10.1.3.161/0->10.1.1.146/0 0x0 ICMP 10.1.3.161/0->10.1.1.146/0 0x0 不适用 1 已知良好策略 不信任信任 168100 不适用(不适用) reth2.0 未知 未知 未知 不适用 不适用 -1 不适用 不适用 根 不适用 <14>1 2022-08-05T10:14:49.398Z Proliant_Node0 RT_FLOW - RT_FLOW_SESSION_DENY [junos@2636.1.1.1.1.2.129 源地址=“10.1.1.146” 源端口=“0” 目标地址=“10.1.3.161” 目标端口=“0” 连接标记=“0” 服务名称=“ICMP” 协议 ID=“1” ICMP 类型=“8” 策略名称=“已知错误策略” 源区域名称=“信任” 目标区域名称=“不信任”“ application=”UNKNOWN“ nested-application=”UNKNOWN“ username=”N/A“ roles=”N/A“ packet-incoming-interface=”reth1.0“ encrypted=”no“ reason=”Deny Policy“ session-id=”163556“ application-category=”N/A“ application-sub-category=”N/A“ application-risk=”-1“ application-features=”N/A“ src-vrf-grp=”N/A“ dst-vrf-grp=”N/A“ source-tenant=”N/A“ destination-service=”N/A“] 会话被拒绝 10.1.1.146/0->10.1.3.161/0 0x0 ICMP 1(8) 已知错误策略信任 不信任 未知 未知 N/A(N/A) RETH1.0 否 被策略拒绝 163556 不适用 不适用 -1 不适用 |
IPS_NTA_EXT.1 | 修改 TOE 接口上处于活动状态的 IPS 策略。 启用/禁用应用了 IPS 策略的 TOE 接口。 修改 TOE 接口上处于活动状态的模式。 |
TOE 接口的识别。 IPS 策略和接口模式(如果适用)。 |
修改 TOE 接口上处于活动状态的 IPS 策略。 <182>1 2023-09-27T10:12:14.782Z Proliant_Node0 mgd 39458 UI_CFG_AUDIT_OTHER [junos@2636.1.1.1.1.2.129 用户名=“acumensec” action=“set” pathname=“[安全区域安全区域信任接口 reth1.0\]” 分隔符=“” 值=“”] 用户“敏锐秒”设置:[安全区域安全区域信任接口 RETH1.0] <182>1 2023-09-27T10:12:41.394Z Proliant_Node0 mgd 39458 UI_CFG_AUDIT_SET [junos@2636.1.1.1.1.2.129 用户名=“Acumensec” 操作=“set” 路径名=“[从区域信任到区域不信任策略的安全策略绕过然后允许应用程序服务 IDP 策略\]” 分隔符=“” 数据=“未配置” 值=“IDP_src”] 用户“敏锐秒”集:[从区域信任到区域不信任策略的安全策略绕过然后允许应用程序服务 IDP 策略] 未配置 -- “IDP_src” 启用/禁用应用了 IPS 策略的 TOE 接口。 <182>1 2023-09-27T10:16:32.546Z Proliant_Node0 mgd 39458 UI_CFG_AUDIT_SET [junos@2636.1.1.1.1.2.129 用户名=“acumensec” 操作=“set” 路径名=“[接口 reth1 单元 0\]” 分隔符=“” 数据=“未配置” 值=“禁用”] 用户“敏锐秒”设置:[接口 reth1 单元 0] 未配置 -- “禁用” 修改 TOE 接口上处于活动状态的模式。 <182>1 2023-09-27T10:19:04.627Z Proliant_Node0 mgd 39458 UI_CFG_AUDIT_SET [junos@2636.1.1.1.1.2.129 用户名=“acumensec” 操作=“set” 路径名=“[接口 reth1\]” 分隔符=“” 数据=“未配置” 值=“混杂模式”] 用户“敏锐秒”设置: [接口 reth1] 未配置 -- “混杂模式” |
IPS_SBD_EXT.1 | 经过检查的流量与启用了日志记录的基于签名的 IPS 规则匹配。 | 匹配签名的名称或标识符 源和目标 IP 地址 确定为与签名匹配的标头字段的内容。 接收数据包的 TOE 接口 TOE 基于网络的操作(例如允许、阻止、发送重置) |
<14>1 2022-08-05T13:05:12.092Z Proliant_Node0 RT_IDP - IDP_ATTACK_LOG_EVENT [junos@2636.1.1.1.1.2.129 纪元时间=“1659704712” 消息类型=“SIG” 源地址=“10.1.1.146” 源端口=“1” 目标地址=“10.1.3.161” 目标端口=“1” 协议名称=“IPIP” 服务名称=“SERVICE_IDP” 应用程序名称=“无” 规则名称=“1” 规则库名称=“IPS”策略名称=“拒绝策略” 导出 id=“1048576” 重复计数=“0” 操作=“丢弃” 威胁严重性=“信息” 攻击名称=“IPv4 版本” nat-source-address=“0.0.0.0” nat-source-port=“0” nat-destination-address=“0.0.0.0” nat-destination-port=“0” 已用时间=“0” 入站字节数=“0” 出站字节数=“0” 入站数据包=“0”出站数据包=“0” 源区域名称=“信任” 源接口名称=“reth1.0” 目标区域名称=“不信任” 目标接口名称=“reth2.0” 数据包日志 id=“0” 警报=“是” 用户名=“N/A” 角色=“N/A” xff-header=“N/A” cve-id=“N/A” session-id=“181445” 消息=“-”] IDP: 在 1659704712,根据策略拒绝策略中规则库 IPS 的规则 1,IPIP 协议和服务SERVICE_IDP应用程序的 SIG 攻击日志 <10.1.1.146/1->10.1.3.161/1>。攻击: id=1048576, 重复=0, 操作=DROP, 威胁严重性=信息, 名称=IPv4 版本, NAT <0.0.0.0:0->0.0.0.0:0>, 时间流逝=0, inbytes=0, outbytes=0, inpackets=0, intf:trust:reth1.0->untrust:reth2.0, packet-log-id: 0, alert=yes, username=N/A, roles=N/A, xff-header=N/A, cve-id=N/A, session-id=181445 and misc-message – |
VPNGW 日志 | |||
FAU_GEN.1/VPN | 未指定任何事件。 | 不适用 | 不适用 |
FCS_CKM.1/IKE | 未指定任何事件。 | 不适用 | 不适用 |
FIA_PSK_EXT.1 | 没有。 | 没有。 | 不适用 |
FIA_PSK_EXT.2 | 没有。 | 没有。 | 不适用 |
FMT_SMF.1/VPN | 所有管理操作 | 没有其他信息。 |
|
FPF_RUL_EXT.1 | 应用配置了“日志”操作的规则 | 源地址和目标地址 源端口和目标端口 传输层协议 |
{primary:node0}[编辑] acumensec@Proliant_Node0:fips# 运行显示防火墙日志详细信息 日志时间:2022-11-29 10:16:39 UTC,筛选器:pfe,筛选器操作:接受,接口名称:reth1.0 协议名称: TCP, 数据包长度: 40, 源地址: 10.1.1.146:1300, 目标地址: 10.1.3.161:80 日志时间:2022-11-29 10:16:39 UTC,筛选器:pfe,筛选器操作:接受,接口名称:reth1.0 协议名称: TCP, 数据包长度: 40, 源地址: 10.1.1.146:1300, 目标地址: 10.1.3.161:80 日志时间:2022-11-29 10:16:39 UTC,筛选器:pfe,筛选器操作:接受,接口名称:reth1.0 协议名称: TCP, 数据包长度: 40, 源地址: 10.1.1.146:1300, 目标地址: 10.1.3.161:80 日志时间:2022-11-29 10:16:36 UTC,筛选器:pfe,筛选器操作:丢弃,接口名称:reth1.0 协议名称: TCP, 数据包长度: 40, 源地址: 10.1.1.146:1200, 目标地址: 10.1.3.161:80 日志时间:2022-11-29 10:16:36 UTC,筛选器:pfe,筛选器操作:丢弃,接口名称:reth1.0 协议名称: TCP, 数据包长度: 40, 源地址: 10.1.1.146:1200, 目标地址: 10.1.3.161:80 日志时间:2022-11-29 10:16:36 UTC,筛选器:pfe,筛选器操作:丢弃,接口名称:reth1.0 协议名称: TCP, 数据包长度: 40, 源地址: 10.1.1.146:1200, 目标地址: 10.1.3.161:80 |
FPT_FLS.1/自检 | 未指定任何事件。 | 不适用 | 不适用 |
FPT_TST_EXT.3 |
未指定任何事件。 | 不适用 | 不适用 |
FTP_ITC.1/VPN |
启动可信通道 |
没有其他信息。 |
启动 <14>1 2022-07-15T07:32:37.658Z Proliant_Node0 RT_FLOW - RT_FLOW_SESSION_CREATE [junos@2636.1.1.1.1.2.129 源地址=“10.1.1.146” 源端口=“11276” 目标地址=“10.1.3.28” 目标端口=“1” 连接标记=“0” 服务名称=“ICMP” nat-source-address=“10.1.1.146” nat-source-port=“11276” nat-destination-address=“10.1.3.28” nat-destination-port=“1”nat-connection-tag=“0” src-nat-rule-type=“N/A” src-nat-rule-name=“N/A” dst-nat-rule-type=“N/A” dst-nat-rule-name=“N/A” protocol-id=“1” policy-name=“vpn-allow” source-zone-name=“trust” 目标区域名称=“vpnzone” session-id=“3802” username=“N/A” roles=“N/A” packet-incoming-interface=“reth1.0” application=“UNKNOWN”嵌套应用程序=“未知” 加密=“未知” 应用程序类别=“N/A” 应用程序子类别=“N/A” 应用程序风险=“-1” 应用程序特性=“N/A” src-vrf-grp=“N/A” dst-vrf-grp=“N/A” 隧道检查=“关闭” 隧道检查策略集=“根” 源租户=“N/A” 目标服务=“N/A”] 会话创建于 10.1.1.146/11276->10.1.3.28/1 0x0 ICMP 10.1.1.146/11276->10.1.3.28/1 0x0 不适用 不适用/A 不适用/A 不适用 1 个 VPN 允许信任 vpnzone 3802 不适用(不适用) reth1.0 未知 未知 未知 不适用 不适用 -1 不适用 |
FTP_ITC.1/VPN |
受信任通道的终止 |
没有其他信息。 |
终止 <14>1 2022-07-15T13:17:56.130Z Proliant_Node0 RT_FLOW - RT_FLOW_SESSION_DENY [junos@2636.1.1.1.2.129 源地址=“10.1.1.146” 源端口=“57642” 目标地址=“10.1.3.28” 目标端口=“22” 连接标记=“0” 服务名称=“Junos-SSH” 协议 ID=“6” ICMP 类型=“0” 策略名称=“VPN 拒绝” 源区域名称=“信任” 目标区域名称=“VPNZONE“ application=”UNKNOWN“ nested-application=”UNKNOWN“ username=”N/A“ roles=”N/A“ packet-incoming-interface=”reth1.0“ encrypted=”no“ reason=”被策略拒绝“ session-id=”41942“ application-category=”N/A“ application-sub-category=”N/A“ application-risk=”-1“ application-features=”N/A“ src-vrf-grp=”N/A“ dst-vrf-grp=”N/A“ source-tenant=”N/A“ destination-service=”N/A“] 会话被拒绝 10.1.1.146/57642->10.1.3.28/22 0x0 Junos-SSH 6(0) VPN 拒绝信任 VPNZONE 未知 未知 N/A(N/A) RETH1.0 否 被策略拒绝 41942 N/A N/A N/A -1 N/A N/A N/A N/A N/A <14>1 2022-07-15T13:17:58.129Z Proliant_Node0 RT_FLOW - RT_FLOW_SESSION_DENY [junos@2636.1.1.1.1.2.129 源地址=“10.1.1.146” 源端口=“57642” 目标地址=“10.1.3.28” 目标端口=“22” 连接标记=“0” 服务名称=“Junos-SSH” 协议 ID=“6” ICMP 类型=“0” 策略名称=“VPN 拒绝” 源区域名称=“信任” 目标区域名称=“VPNZONE“ application=”UNKNOWN“ nested-application=”UNKNOWN“ username=”N/A“ roles=”N/A“ packet-incoming-interface=”reth1.0“ encrypted=”no“ reason=”Deny by policy“ session-id=”41943“ application-category=”N/A“ application-sub-category=”N/A“ application-risk=”-1“ application-features=”N/A“ src-vrf-grp=”N/A“ dst-vrf-grp=”N/A“ source-tenant=”N/A“ destination-service=”N/A“] 会话被拒绝 10.1.1.146/57642->10.1.3.28/22 0x0 Junos-SSH 6(0) VPN 拒绝信任 VPNZONE 未知 未知 N/A(N/A) reth1.0 否 被策略拒绝 41943 N/A N/A N/A -1 N/A N/A N/A N/A N/A |
FTP_ITC.1/VPN |
可信通道功能失败 |
识别可信通道建立尝试失败的启动器和目标 |
失败 <27>1 2022-07-25T07:32:45.548Z Proliant_Node0 kmd 20805 - - IKE 协商失败,出现错误:未选择提案。IKE 版本: 1, VPN: ike-vpn-devices 网关: gw-b, 本地: 10.1.5.129/500, 远程: 10.1.5.29/500, 本地 IKE-ID: 不可用, 远程 IKE-ID: 不可用, VR-ID: 0: 角色: 发起方 <27>1 2022-07-25T07:32:46.554Z Proliant_Node0 kmd 20805 - - IKE 协商失败,出现错误:未选择任何建议。IKE 版本: 1, VPN: ike-vpn-devices 网关: gw-b, 本地: 10.1.5.129/500, 远程: 10.1.5.29/500, 本地 IKE-ID: 不可用, 远程 IKE-ID: 不可用, VR-ID: 0: 角色: 发起方 |