监控 ATP
您在此处:监控> ATP >日志。
使用监控功能查看 ATP 页面。分析瞻博网络 ATP 日志会生成恶意软件名称、采取的操作、受感染的主机、攻击来源和攻击目的地等信息。
除 SRX5000 系列设备外,所有 SRX 系列防火墙均支持 ATP 页面。
表 1 介绍了 ATP 页面上的字段。
领域 |
描述 |
---|---|
最后 |
从列表中选择时间,查看您最感兴趣的活动。选择时间后,将自动刷新视图中显示的所有数据。 您还可以使用 自定义 设置自定义日期,然后单击 “应用 ”以查看指定的 ATP 日志。 |
刷新 |
单击刷新图标可获取最新的 ATP 日志信息。 |
显示隐藏列 |
此图标由三个垂直点表示。 允许您在网格中显示或隐藏列。 |
导出到 CSV |
您可以将 ATP 日志数据导出到逗号分隔值 (.csv) 文件中。 选择页面右侧的三个垂直点,然后单击 导出到 CSV。CSV 文件将下载到本地机器上。您最多只能下载 100 个 ATP 日志数据。 |
过滤标准 |
使用表格网格上方的过滤器文本框。搜索将逻辑运算符作为过滤器字符串的一部分。在过滤器文本框,将鼠标悬停在图标上时,将显示过滤器条件示例。开始输入搜索字符串时,图标将指示过滤器字符串是否有效。 提供以下过滤器:
|
X |
单击 X 以清除搜索过滤器。 |
保存过滤器 |
指定过滤标准后,单击“ 保存过滤器 ”以保存过滤器。 要保存过滤器:
|
负载过滤器 |
显示保存的过滤器列表。 将悬停在保存的过滤器名称上以查看查询表达式。您可以使用 delete 图标删除保存的过滤器。 |
时间 |
显示接收 ATP 日志的时间。 |
日志类型 |
显示 ATP 日志类型:操作、恶意软件事件、SMTP 操作和 IMAP 操作。 |
源区域 |
显示 ATP 日志的源区域。 |
源 IP |
显示 ATP 日志发生位置的源 IP 地址。 |
源端口 |
显示源的端口号。 |
用户 |
显示下载可能恶意软件的用户名。 |
目标区域 |
显示 ATP 日志的目标区域。 |
目标 IP |
显示 ATP 日志发生的目标 IP。 |
目标端口 |
显示 ATP 日志的目标端口。 |
应用 |
显示生成 ATP 日志的应用程序名称。 |
行动 |
显示从事件中采取的操作:log、许可以及 log and permit。 |
会话 ID |
显示 ATP 日志的会话 ID。 |
政策 |
显示实施该操作的策略名称。 |
列表命中数 |
显示 C&C 服务器尝试联系网络上的主机的次数。 |
Url |
显示触发事件的已访问 URL 名称。 |
示例 SHA256 |
显示已下载文件的 SHA-256 哈希值。 |
文件哈希查找 |
显示为匹配已知恶意软件而发送的文件的哈希。 |
文件名 |
显示文件名,包括扩展名。 |
协议 |
显示 C&C 服务器用于尝试通信的协议。 |
文件类别 |
显示文件类型。示例:PDF、可执行文件、文档。 |
主机 名 |
显示下载可能恶意软件的设备主机名。 |
判决编号 |
显示文件的分数或威胁级别。 |
恶意软件信息 |
显示恶意软件名称或简要说明。 |
发送至 |
显示电子邮件地址。 |
发送自 |
显示电子邮件地址。 |
租户 ID |
显示内部唯一标识符。 |