Informations système et mises à jour
Vérification de l’intégrité de l’appliance
Cliquez sur le menu déroulant État du système pour afficher l’état opérationnel en temps réel des moteurs d’inspection et de détection de l’appliance Juniper ATP.
Internet |
État de la connexion Internet |
moteur de comportement |
État du moteur d’analyse du comportement de base |
Moteur statique |
État du moteur d’analyse statique |
Corrélation |
État des composants de machine learning du moteur de raisonnement hiérarchique (HRE) |
Collecteurs Web |
L’état des collecteurs Web s’affiche si des périphériques de collecteurs Web distribués sont activés.
Note:
Si le système actuel est un tout-en-un et qu’aucun périphérique de collecteur supplémentaire n’est configuré, l’élément Collecteurs Web dans le menu déroulant sera absent. |
Noyaux secondaires |
L’état des cœurs secondaires s’affiche si des périphériques secondaires Mac Mini ou secondaires Windows distribués sont activés. |
System Dashboard
Le tableau de bord du système est également disponible à partir de l’onglet Tableau de bord pour surveiller les mesures d’inspection et de détection du système :
Le tableau de bord système comprend des mesures pour les éléments suivants :
Objets de trafic analysés/Objets de trafic proposés
Utilisation centrale (Windows et Mac OSX)
Objets traités
Temps moyen d’analyse (en minutes) (Windows et Mac OSX)
Objets malveillants
Les cartes système peuvent être affichées pour :
Dernières 24 heures | La semaine dernière | Le mois dernier | 3 derniers mois | L’année dernière
Collectors Dashboard
Le tableau de bord des collecteurs est un autre tableau de bord disponible à partir de l’onglet Tableau de bord :
Le tableau de bord des collecteurs inclut des mesures pour les affichages de tendances d’inspection et d’analyse des collecteurs suivants (les options sont sélectionnées dans le menu déroulant Tendance) :
Trafic total (Mbit/s)
Utilisation du processeur
Utilisation de la mémoire
Objets trouvés
Objets malveillants
Les cartes système peuvent être affichées pour :
Dernières 24 heures | La semaine dernière | Le mois dernier | 3 derniers mois | L’année dernière
Le tableau récapitulatif du tableau de bord des collecteurs fournit des informations configurées et statistiques dans les colonnes suivantes :
Colonne Récapitulatif |
Description |
|---|---|
Intrigue |
Cliquez pour afficher [plusieurs] tracés à des fins de comparaison dans le graphique ci-dessus ; Des couleurs sont affichées pour chaque ligne de tracé graphique sélectionnée |
Nom du collecteur |
Nom du collecteur de trafic installé |
Adresse IP |
Adresse IP du collecteur |
Mémoire |
Statistiques d’utilisation de la mémoire |
CPU |
Statistiques d’utilisation du processeur |
Disque |
Utilisation du disque |
Trafic total |
Trafic total analysé en Kbits/s ou Mbits/s |
Objets |
Objets analysés |
Objets malveillants |
Objets malveillants détectés |
Dernier malware détecté |
Dernier incident de logiciel malveillant détecté et analysé |
Statut |
Dernière vérification de l’état du collecteur (exemple : « il y a 83 secondes ») |
Activé |
La coche verte indique que le collecteur est actuellement activé ; un X rouge indique que le collecteur est désactivé ou hors ligne. |
Mise à niveau du logiciel et du contenu de sécurité de l’appliance Juniper ATP
La mise à niveau du contenu logiciel et de sécurité est automatique lorsqu’elle est configurée à partir de la page Configuration de l’interface utilisateur Web du gestionnaire central>Paramètres système>Paramètres système.
Pour activer les mises à niveau automatiques, vérifiez les options « Mise à jour logicielle activée » et/ou « Mise à jour de contenu activée » sur la page Paramètres système.
Les mises à jour continues ont lieu selon un calendrier régulier :
La mise à jour logicielle et de contenu (si elle est activée) vérifie les mises à jour disponibles toutes les 30 minutes.
La vérification de la mise à niveau de l’image du moteur de détonation du cœur a lieu tous les jours à minuit.
Prise en charge de la journalisation CEF pour SIEM
La détection des événements malveillants par l’appliance Juniper ATP génère des détails sur les incidents et les alertes qui peuvent être envoyés aux plateformes SIEM connectées au format CEF via UDP.
Reportez-vous au document Prise en charge de la journalisation CEF de l’appliance Juniper ATP pour SIEM, qui présente les sorties CEF pour le mappage et l’intégration SIEM. L’appliance ATP de Juniper fournit également des résultats d’API HTTP basés sur JSON et des notifications ASCII TEXT qui ne sont pas abordées dans ce guide.
La page Configuration de l’interface utilisateur Web>Notifications>SIEM de Juniper ATP Appliance Central Manager permet de configurer les notifications d’événements et d’audit système pour les serveurs SYSLOG ou SIEM basés sur CEF. Les serveurs, quant à eux, doivent être configurés pour recevoir les notifications de l’appliance Juniper ATP au format CEF.
syslog Trap Récepteur Serveur
Lors de la configuration de l’appliance Juniper ATP pour générer des notifications d’alerte au format Syslog, un administrateur doit confirmer que le serveur SIEM syslog trap-sink prend en charge le serveur SIEM. La sortie Syslog n’est accessible pour l’analyse que sur le serveur syslog et ne peut pas être visualisée à partir de l’interface de ligne de commande ou de l’interface utilisateur Web de l’appliance Juniper ATP.
CEF Format
Common Event Format (CEF) est un format syslog standard ouvert pour la gestion des journaux et l’interopérabilité des informations relatives à la sécurité provenant de différents équipements, appareils réseau et applications. Juniper ATP Appliance adopte ce format de journal ouvert pour envoyer des notifications d’événements malveillants à Juniper ATP Appliance au canal configuré.
Le format standard du CEF est le suivant :
CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|Extension
Le format CEF de l’appliance ATP de Juniper est le suivant :
CEF:0|Juniper ATP Appliance|Cortex|<Juniper ATP Appliance version x.x.x.x>|<event type: http,email,datatheft...>|<malware name>|<incident risk mapping to 0- 10>|externalId=<Juniper ATP Appliance Incident ID> eventId=<Juniper ATP Appliance event ID> <ExtensionField=value...>...
Le format CEF contient les informations les plus pertinentes sur les événements malveillants, ce qui permet aux consommateurs d’événements d’analyser et d’utiliser les données de manière interopérable. Pour intégrer des événements, le format de message syslog est utilisé comme mécanisme de transport. Ce mécanisme est structuré de manière à inclure un préfixe commun appliqué à chaque message et contient la date et le nom d’hôte, comme indiqué ci-dessous :
<timestamp in UTC> host <message> where message=<header>|<extension>
Voici le préfixe commun tel qu’indiqué dans Splunk :
<Timestamp in UTC> <server-fully-qualified domain name of the Juniper ATP Appliance box> <CEF format>
Les définitions des principaux champs CEF ainsi que des extensions CEC sont fournies et détaillées dans le Juniper ATP Appliance CEF and Syslog Support for SIEM guidefichier .
Le champ Nom d’utilisateur est inclus dans les journaux SIEM lors de l’envoi des journaux d’audit.