监控 ATP
您现在在这里:监控>日志> ATP。
使用监控功能可查看 ATP 页面。分析瞻博网络 ATP 日志可产生恶意软件名称、采取的操作、受感染的主机、攻击来源以及攻击目标等信息。
ATP 页面可供所有 SRX 系列设备(SRX5000 系列设备除外)使用。
表 1 介绍了 ATP 页面上的字段。
领域 |
描述 |
|---|---|
最后 |
从列表中选择时间,以查看您最感兴趣的活动。选择时间后,视图中显示的所有数据都将自动刷新。 您还可以使用 Custom 设置自定义日期,然后单击 Apply 查看指定的 ATP 日志。 |
刷新 |
单击刷新图标可获取最新的 ATP 日志信息。 |
显示隐藏列 |
这个图标以三个垂直点表示。 允许您在网格中显示或隐藏一列。 |
导出到 CSV |
您可以将 ATP 日志数据导出到逗号分隔值 (.csv) 文件中。 选择页面右边的三个垂直点,然后单击 导出到 CSV。CSV 文件将下载到您的本地计算机。您最多可以下载 100 个 ATP 日志数据。 |
过滤器标准 |
使用表网格上方的过滤器文本框。搜索将逻辑运算符作为过滤器字符串的一部分。在过滤器文本框中,将鼠标悬停在图标上方时,将显示一个示例过滤器条件。开始输入搜索字符串时,图标将指示过滤器字符串是否有效。 |
X |
单击 X 以清除搜索过滤器。 |
保存过滤器 |
指定 过滤 标准之后,单击 保存过滤器 以保存过滤器。 要保存过滤器:
|
负载过滤器 |
显示保存的过滤器列表。 将鼠标光标悬停在已保存的过滤器名称上方可查看查询表达式。您可以使用删除图标删除已保存的过滤器。 |
时间 |
显示接收 ATP 日志的时间。 |
日志类型 |
显示 ATP 日志类型:操作、恶意软件事件、SMTP 操作和 IMAP 操作。 |
源区域 |
显示 ATP 日志的源区域。 |
源 IP |
显示 ATP 日志发生的源 IP 地址。 |
源端口 |
显示源的端口号。 |
用户 |
显示下载可能恶意软件的用户名。 |
目标区域 |
显示 ATP 日志的目标区域。 |
目标 IP |
显示发生的 ATP 日志的目标 IP。 |
目标端口 |
显示 ATP 日志的目标端口。 |
应用 |
显示生成 ATP 日志的应用程序名称。 |
行动 |
显示从事件采取的操作:日志、允许和日志和允许。 |
会话 ID |
显示 ATP 日志的会话 ID。 |
政策 |
显示实施此操作的策略名称。 |
列表已点击 |
显示 C&C 服务器尝试联系您网络上主机多少次。 |
URL |
显示触发事件的已访问 URL 名称。 |
SHA256 示例 |
显示下载文件的 SHA-256 散列值。 |
文件哈希查找 |
显示发送的与已知恶意软件匹配的文件的哈希。 |
文件名 |
显示文件名称,包括扩展名。 |
协议 |
显示 C&C 服务器用于尝试通信的协议。 |
文件类别 |
显示文件类型。示例:PDF、可执行文件、文档。 |
主机 名 |
显示下载可能恶意软件的设备主机名。 |
决定编号 |
显示文件分数或威胁级别。 |
恶意软件信息 |
显示恶意软件名称或简要说明。 |
发送至 |
显示电子邮件地址。 |
发送自 |
显示电子邮件地址。 |
租户 ID |
显示内部唯一标识符。 |