Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

监控 ATP

您现在在这里:监控>日志> ATP

使用监控功能可查看 ATP 页面。分析瞻博网络 ATP 日志可产生恶意软件名称、采取的操作、受感染的主机、攻击来源以及攻击目标等信息。

注意:

ATP 页面可供所有 SRX 系列设备(SRX5000 系列设备除外)使用。

表 1 介绍了 ATP 页面上的字段。

表 1:ATP页面上的字段

领域

描述

最后

从列表中选择时间,以查看您最感兴趣的活动。选择时间后,视图中显示的所有数据都将自动刷新。

您还可以使用 Custom 设置自定义日期,然后单击 Apply 查看指定的 ATP 日志。

刷新

单击刷新图标可获取最新的 ATP 日志信息。

显示隐藏列

这个图标以三个垂直点表示。

允许您在网格中显示或隐藏一列。

导出到 CSV

您可以将 ATP 日志数据导出到逗号分隔值 (.csv) 文件中。

选择页面右边的三个垂直点,然后单击 导出到 CSV。CSV 文件将下载到您的本地计算机。您最多可以下载 100 个 ATP 日志数据。

过滤器标准

使用表网格上方的过滤器文本框。搜索将逻辑运算符作为过滤器字符串的一部分。在过滤器文本框中,将鼠标悬停在图标上方时,将显示一个示例过滤器条件。开始输入搜索字符串时,图标将指示过滤器字符串是否有效。

X

单击 X 以清除搜索过滤器。

保存过滤器

指定 过滤 标准之后,单击 保存过滤器 以保存过滤器。

要保存过滤器:

  1. 在高级搜索框中输入要寻找的过滤条件。

  2. 单击 保存过滤器

  3. 输入过滤器的名称,然后单击复选框图标以将其保存。

负载过滤器

显示保存的过滤器列表。

将鼠标光标悬停在已保存的过滤器名称上方可查看查询表达式。您可以使用删除图标删除已保存的过滤器。

时间

显示接收 ATP 日志的时间。

日志类型

显示 ATP 日志类型:操作、恶意软件事件、SMTP 操作和 IMAP 操作。

源区域

显示 ATP 日志的源区域。

源 IP

显示 ATP 日志发生的源 IP 地址。

源端口

显示源的端口号。

用户

显示下载可能恶意软件的用户名。

目标区域

显示 ATP 日志的目标区域。

目标 IP

显示发生的 ATP 日志的目标 IP。

目标端口

显示 ATP 日志的目标端口。

应用

显示生成 ATP 日志的应用程序名称。

行动

显示从事件采取的操作:日志、允许和日志和允许。

会话 ID

显示 ATP 日志的会话 ID。

政策

显示实施此操作的策略名称。

列表已点击

显示 C&C 服务器尝试联系您网络上主机多少次。

URL

显示触发事件的已访问 URL 名称。

SHA256 示例

显示下载文件的 SHA-256 散列值。

文件哈希查找

显示发送的与已知恶意软件匹配的文件的哈希。

文件名

显示文件名称,包括扩展名。

协议

显示 C&C 服务器用于尝试通信的协议。

文件类别

显示文件类型。示例:PDF、可执行文件、文档。

主机 名

显示下载可能恶意软件的设备主机名。

决定编号

显示文件分数或威胁级别。

恶意软件信息

显示恶意软件名称或简要说明。

发送至

显示电子邮件地址。

发送自

显示电子邮件地址。

租户 ID

显示内部唯一标识符。