電子メール添付ファイルスキャンの詳細
このページにアクセスするには、[> ファイル>電子メールの添付ファイルの監視] に移動します。「署名 ID」リンクをクリックして、「ファイルの詳細」ページに移動します。
このページを使用して、ダウンロードしたファイルの分析情報とマルウェア動作の概要を表示します。このページは、いくつかのセクションに分かれています。
誤検知を報告—[ 誤検知を報告 ]ボタンをクリックすると新しい画面が起動し、ジュニパーネットワークスにレポートを送信して、誤った立場または偽陰性をジュニパーに通知できます。ジュニパーは報告書を調査しますが、この調査によって判断が変わることはありません。修正を行う(システムをクリーンとしてマークする)場合は、手動で行う必要があります。
STIXレポートをダウンロード—
利用可能なSTIXレポートがある場合は、このページにダウンロードリンクが表示されます。リンクをクリックすると、ブロックリストに登録されたファイル、アドレス、URL など、収集されたオープンソースの脅威情報が表示されます。STIX(Structured Threat Information eXpression)は、TAXII(Trusted Automated eXchange of Indicator Information)を使用して脅威情報を報告および共有するために使用される言語です。TAXIIは、当事者間で脅威情報をHTTPSで通信するためのプロトコルです。
STIXとTAXIIは、脅威情報の自動交換を支援する仕様のオープンなコミュニティ主導の取り組みです。これにより、脅威情報を標準化された形式で表現し、共有および使用できます。ジュニパーATPクラウドは、この情報と他のソースの両方を使用します。これは自動的に行われます。STIX に必要な管理者構成はありません。
Juniper ATP Cloudは、脅威インテリジェンスを共有することもできます。[脅威の共有] ページから、共有する脅威情報を制御できます。 脅威インテリジェンス共有の設定を参照してください。
[zip ファイルのダウンロード] - (利用可能な場合)分析のために隔離されたマルウェアをダウンロードするには、このリンクをクリックします。このリンクを使用すると、マルウェアを含むパスワードで保護されたzipファイルをダウンロードできます。zip ファイルのパスワードは、問題のファイルの Juniper ATP Cloud UI の 全般 タブに表示されるマルウェア exe ファイルの SHA256 ハッシュ(長さ 64 文字、英数字の文字列)です。
ページの上部には、次の情報の概要が表示されます (UI を右にスクロールすると、その他のボックスが表示されます)。
脅威レベル:割り当てられた脅威レベル(0-10)で、このボックスには脅威カテゴリと実行されたアクションも表示されます。
上位インジケータ:このボックスには、マルウェア名、一致するシグネチャ、およびファイルの送信元のIPアドレス/URLが表示されます。
[Prevalence]:このボックスには、このマルウェアが見られた頻度、ファイルをダウンロードしたネットワーク上の個々のホストの数、使用されたプロトコルに関する情報が表示されます。
ファイルの概要
畑 |
定義 |
---|---|
脅威レベル |
これは、割り当てられた脅威レベル0-10です。10は最も悪質です。 |
対応 |
脅威レベルとホスト設定に基づいて実行される処理:ブロックまたは許可。 |
世界の有病率 |
このファイルがさまざまな顧客で確認された頻度。 |
最終スキャン |
不審なファイルを最後に検出した日時。 |
ファイル名 |
疑わしいファイルの名前。例: unzipper-setup.exe、20160223158005.exe、wordmui.msi。 |
カテゴリ |
ファイルの種類。例: PDF、実行可能ファイル、ドキュメント。 |
ファイルサイズ |
ダウンロードしたファイルのサイズ。 |
プラットホーム |
ファイルのターゲット オペレーティング システム。例。ウィン32 |
マルウェア名 |
可能な場合、Juniper ATP Cloudがマルウェアの名前を特定します。 |
種類 |
可能な場合は、ジュニパーATPクラウドが脅威の種類を判断します。例:トロイの木馬、アプリケーション、アドウェア。 |
濾す |
可能な場合、ジュニパーATPクラウドが、検知されたマルウェアの系統を判断します。例:Outbrowse.1198、Visicom.E、Flystudio。 |
その他の詳細 |
|
SHA256 および MD5 |
ファイルがマルウェアかどうかを判断する 1 つの方法は、ファイルのチェックサムを計算し、そのファイルが以前にマルウェアとして識別されたかどうかを照会することです。 |
[ネットワークアクティビティ]セクションでは、次のタブで情報を表示できます。
ネットワークアクティビティがない場合、このセクションは空白で表示されます。
[接続したドメイン] - 利用可能な場合、Juniper ATP Cloud サンドボックス内のファイルの実行中に接続したドメインが一覧表示されます。
[接続された IP] - 使用可能な場合、ファイルの実行中に接続したすべての IP が、宛先 IP の国、ASN、レピュテーションとともに一覧表示されます。レピュテーションフィールドは、ジュニパーのIPインテリジェンスデータの送信先に基づいています。
DNS アクティビティ—このタブには、外部で接続したサーバーのドメイン名を見つけるための逆引き参照など、ファイルの実行中の DNS アクティビティが一覧表示されます。このタブには、移行先サーバーの既知の評価も表示されます。
[動作の詳細] セクションでは、システム上のファイルの動作を表示できます。これには、開始されたプロセス、削除されたファイル、およびファイルの実行中に確認されたネットワークアクティビティが含まれます。ドロップされたファイルは、元のファイルによってダウンロードおよびインストールされた追加ファイルです。