システム情報とアップデート
アプライアンスの正常性の確認
[システム健全性]ドロップダウンをクリックすると、Juniper ATP Applianceの検査および検出エンジンのリアルタイムの運用ステータスが表示されます。
インターネット |
インターネット接続状態 |
ビヘイビアエンジン |
コア動作分析エンジンのステータス |
スタティックエンジン |
静的分析エンジンのステータス |
相関 |
階層推論エンジン(HRE)機械学習コンポーネントのステータス |
ウェブコレクター |
分散 Web コレクター デバイスが有効になっている場合は、Web コレクターの状態が表示されます。
メモ:
現在のシステムがオールインワンで、追加のコレクタデバイスが設定されていない場合、ドロップダウンメニューの[Webコレクタ]項目は表示されません。 |
二次コア |
セカンダリコアのステータスは、分散MacミニセカンダリまたはWindowsセカンダリコアデバイスが有効になっている場合に表示されます。 |
System Dashboard
システムダッシュボードは、[ダッシュボード]タブからも使用できます。また、システムインスペクションおよび検出メトリックをモニタリングすることもできます。
システムダッシュボードには、次のメトリックが含まれています。
スキャンされたトラフィックオブジェクト/提供されたトラフィックオブジェクト
コア使用率(WindowsおよびMac OSX)
処理されたオブジェクト
平均分析時間 (分) (Windows および Mac OSX)
マルウェア オブジェクト
システムチャートは、次の場合に表示できます。
過去 24 時間 |先週 |先月 |過去3ヶ月 |昨年
Collectors Dashboard
コレクターダッシュボードは、[ダッシュボード]タブから利用できる別のダッシュボードです。
コレクターダッシュボードには、次のコレクターインスペクションおよび分析トレンド表示のメトリックが含まれています(オプションは[トレンド]ドロップダウンメニューから選択できます)。
総トラフィック(Mbps)
CPU 使用率
メモリ使用量
見つかったオブジェクト
マルウェア オブジェクト
システムチャートは、次の場合に表示できます。
過去 24 時間 |先週 |先月 |過去3ヶ月 |昨年
コレクターダッシュボードの概要テーブルには、次の列に設定情報と統計情報が表示されます。
概要列 |
説明 |
---|---|
プロット |
クリックすると、上のグラフに比較用の[複数の]プロットが表示されます。選択した各グラフィカルプロットラインに色が表示されます |
コレクター名 |
インストールされているトラフィックコレクターの名前 |
IPアドレス |
コレクターの IP アドレス |
メモリ |
メモリ使用量の統計 |
Cpu |
CPU 使用率の統計 |
ディスク |
ディスク使用量 |
総トラフィック量 |
スキャンされたトラフィックの合計(KbpsまたはMbps) |
オブジェクト |
分析対象 |
マルウェア オブジェクト |
マルウェア オブジェクトが検出されました |
最後に検出されたマルウェア |
最後に検出および分析されたマルウェアインシデント |
ステータス |
コレクターの最後のステータス チェック (例: "83 秒前") |
有効 |
緑のチェックマークは、コレクタが現在有効であることを示します。赤いXは、コレクタが無効またはオフラインであることを示します。 |
ジュニパーATPアプライアンスソフトウェアとセキュリティコンテンツのアップグレード
ソフトウェアおよびセキュリティー・コンテンツのアップグレードは、Central Manager Web UI の構成>システム設定>システム設定ページから構成すると自動的に行われます。
自動アップグレードを有効にするには、[システム設定]ページの[ソフトウェアアップデートが有効]および/または[コンテンツアップデートが有効]オプションをオンにします。
継続的な更新は定期的に行われます。
ソフトウェアとコンテンツの更新プログラム (有効な場合) は、30 分ごとに利用可能な更新プログラムを確認します。
Core デトネーション エンジン イメージのアップグレード チェックは、毎日深夜に行われます。
SIEM の CEF ロギング サポート
Juniper ATP Applianceが悪意のあるイベントを検出すると、インシデントやアラートの詳細が生成され、UDP経由でCEF形式で接続されたSIEMプラットフォームに送信できます。
SIEMマッピングと統合のためのCEF出力に焦点を当てた、ジュニパーATPアプライアンスのSIEM向けCEFロギングサポートのドキュメントを参照してください。Juniper ATP Appliance は、このガイドで説明されていない JSON ベースの HTTP API 結果と ASCII TEXT 通知も提供します。
Juniper ATP Appliance Central Manager WebUI の [構成>通知>SIEM 設定] ページでは、SYSLOG または CEF ベースの SIEM サーバーのイベントおよびシステム監査通知を構成するオプションが提供されます。さらに、サーバーは、CEF形式のJuniper ATP Appliance通知を受信するように設定する必要があります。
syslog トラップ シンク サーバー
Syslog形式でアラート通知を生成するようにJuniper ATP Applianceを設定する場合、管理者はsyslogトラップシンクSIEMサーバーがサポートしていることを確認する必要があります。Syslog出力は、syslogサーバー上でのみ解析用にアクセスでき、Juniper ATP Appliance CLIまたはWeb UIから表示することはできません。
CEF フォーマット
CEF(Common Event Format)は、さまざまなデバイス、ネットワークアプライアンス、アプリケーションからのセキュリティ関連情報のログ管理と相互運用性のためのオープンスタンダードのsyslogフォーマットです。このオープンログフォーマットは、ジュニパーATPアプライアンスが設定したチャネルにジュニパーATPアプライアンスマルウェアイベント通知を送信するために採用しています。
標準の CEF フォーマットは次のとおりです。
CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|Extension
Juniper ATP Appliance CEF の形式は次のとおりです。
CEF:0|Juniper ATP Appliance|Cortex|<Juniper ATP Appliance version x.x.x.x>|<event type: http,email,datatheft...>|<malware name>|<incident risk mapping to 0- 10>|externalId=<Juniper ATP Appliance Incident ID> eventId=<Juniper ATP Appliance event ID> <ExtensionField=value...>...
CEF 形式には最も関連性の高いマルウェア イベント情報が含まれているため、イベント コンシューマーはデータを相互運用可能に解析して使用できます。イベントを統合するには、トランスポートメカニズムとして syslog メッセージ形式を使用します。このメカニズムは、各メッセージに適用される共通のプレフィックスを含むように構成されており、以下に示すように日付とホスト名が含まれています。
<timestamp in UTC> host <message> where message=<header>|<extension>
Splunk に表示される一般的なプレフィックスを次に示します。
<Timestamp in UTC> <server-fully-qualified domain name of the Juniper ATP Appliance box> <CEF format>
プライマリ CEF フィールドおよび CEF 拡張の定義については、「」を参照してください Juniper ATP Appliance CEF and Syslog Support for SIEM guide。
[ユーザー名] フィールドは、監査ログの送信中に SIEM ログに含まれます。