Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

监控 ATP

您在此处:监控> ATP >日志

使用监控功能查看 ATP 页面。分析瞻博网络 ATP 日志会生成恶意软件名称、采取的操作、受感染的主机、攻击来源和攻击目的地等信息。

注意:

除 SRX5000 系列设备外,所有 SRX 系列防火墙均支持 ATP 页面。

表 1 介绍了 ATP 页面上的字段。

表 1:ATP 页面上的字段

领域

描述

最后

从列表中选择时间,查看您最感兴趣的活动。选择时间后,将自动刷新视图中显示的所有数据。

您还可以使用 自定义 设置自定义日期,然后单击 “应用 ”以查看指定的 ATP 日志。

刷新

单击刷新图标可获取最新的 ATP 日志信息。

显示隐藏列

此图标由三个垂直点表示。

允许您在网格中显示或隐藏列。

导出到 CSV

您可以将 ATP 日志数据导出到逗号分隔值 (.csv) 文件中。

选择页面右侧的三个垂直点,然后单击 导出到 CSV。CSV 文件将下载到本地机器上。您最多只能下载 100 个 ATP 日志数据。

过滤标准

使用表格网格上方的过滤器文本框。搜索将逻辑运算符作为过滤器字符串的一部分。在过滤器文本框,将鼠标悬停在图标上时,将显示过滤器条件示例。开始输入搜索字符串时,图标将指示过滤器字符串是否有效。

提供以下过滤器:

  • 源 IP

  • 目标 IP

  • 会话 ID

  • 日志类型

  • 用户

  • 应用

  • 源区域

  • 目标区域

  • 来源国家/地区

  • 目标国家/地区

  • 源端口

  • 目标端口

  • 协议

X

单击 X 以清除搜索过滤器。

保存过滤器

指定过滤标准后,单击“ 保存过滤器 ”以保存过滤器。

要保存过滤器:

  1. 在高级搜索框中输入您要查找的筛选标准。

  2. 单击 “保存过滤器”。

  3. 输入过滤器的名称,然后单击滴答声图标进行保存。

负载过滤器

显示保存的过滤器列表。

将悬停在保存的过滤器名称上以查看查询表达式。您可以使用 delete 图标删除保存的过滤器。

时间

显示接收 ATP 日志的时间。

日志类型

显示 ATP 日志类型:操作、恶意软件事件、SMTP 操作和 IMAP 操作。

源区域

显示 ATP 日志的源区域。

源 IP

显示 ATP 日志发生位置的源 IP 地址。

源端口

显示源的端口号。

用户

显示下载可能恶意软件的用户名。

目标区域

显示 ATP 日志的目标区域。

目标 IP

显示 ATP 日志发生的目标 IP。

目标端口

显示 ATP 日志的目标端口。

应用

显示生成 ATP 日志的应用程序名称。

行动

显示从事件中采取的操作:log、许可以及 log and permit。

会话 ID

显示 ATP 日志的会话 ID。

政策

显示实施该操作的策略名称。

列表命中数

显示 C&C 服务器尝试联系网络上的主机的次数。

Url

显示触发事件的已访问 URL 名称。

示例 SHA256

显示已下载文件的 SHA-256 哈希值。

文件哈希查找

显示为匹配已知恶意软件而发送的文件的哈希。

文件名

显示文件名,包括扩展名。

协议

显示 C&C 服务器用于尝试通信的协议。

文件类别

显示文件类型。示例:PDF、可执行文件、文档。

主机 名

显示下载可能恶意软件的设备主机名。

判决编号

显示文件的分数或威胁级别。

恶意软件信息

显示恶意软件名称或简要说明。

发送至

显示电子邮件地址。

发送自

显示电子邮件地址。

租户 ID

显示内部唯一标识符。