Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

電子メールの添付ファイルのスキャンの詳細

このページにアクセスするには、[>ファイル>電子メールの添付ファイル監視]に移動します。[シグニチャ ID(Signature ID)] リンクをクリックして、[ファイルの詳細(Files Details)] ページに移動します。

このページを使用して、ダウンロードしたファイルの分析情報とマルウェアの動作の概要を表示します。このページは、いくつかのセクションに分かれています。

偽陽性を報告— [偽陽性を報告] ボタンをクリックすると、新しい画面が表示され、ジュニパーネットワークスにレポートを送信し、誤った位置または偽陰性をジュニパーに通知できます。ジュニパーは報告書を調査しますが、この調査によって評決が変わることはありません。修正を行う(システムをクリーンとしてマークする)場合は、手動で行う必要があります。

STIXレポートをダウンロード

利用可能なSTIXレポートがある場合は、このページにダウンロードリンクが表示されます。リンクをクリックすると、ブロックリストに登録されたファイル、アドレス、URLなど、収集されたオープンソースの脅威情報が表示されます。STIX(Structured Threat Information eXpression)は、TAXII(Trusted Automated eXchange of Indicator Information)を使用して脅威情報を報告および共有するために使用される言語です。TAXIIは、当事者間の脅威情報をHTTPSで通信するためのプロトコルです。

STIX と TAXII は、脅威情報の自動交換を支援する、オープンなコミュニティ主導の仕様の取り組みです。これにより、脅威情報を標準化された形式で表現し、共有および利用することができます。Juniper ATP Cloudは、この情報だけでなく、他のソースも使用します。これは自動的に行われます。STIX に必要な管理者設定はありません。

手記:

Juniper ATP Cloudでは、脅威インテリジェンスを共有することもできます。[脅威の共有] ページで、共有する脅威情報を制御できます。 脅威インテリジェンス共有の構成を参照してください。

[圧縮ファイルのダウンロード(Download Zipped Files)]:(使用可能な場合)このリンクをクリックして、分析のために隔離されたマルウェアをダウンロードします。このリンクを使用すると、マルウェアを含むパスワードで保護されたzipファイルをダウンロードできます。zip ファイルのパスワードは、問題のファイルの Juniper ATP Cloud UI の 全般 タブに表示されているマルウェア exe ファイルの SHA256 ハッシュ(長さ 64 文字、英数字の文字列)です。

ページの上部には、次の情報をすばやく表示できます(UI を右にスクロールすると、その他のボックスが表示されます)。

  • [脅威レベル(Threat Level)]:割り当てられた脅威レベル(0-10)で、このボックスには脅威カテゴリと実行されたアクションも表示されます。

  • [Top Indicators]:このボックスには、マルウェア名、一致するシグネチャ、ファイルの送信元のIPアドレス/URLが表示されます。

  • 蔓延—このボックスには、このマルウェアが検出された頻度、ネットワーク上のファイルをダウンロードした個々のホストの数、および使用されたプロトコルに関する情報が表示されます。

ファイルサマリー

表 1: [General Summary] フィールド

定義

脅威レベル

これは、割り当てられた脅威レベル 0 から 10 です。10 が最も悪質です。

対応

脅威レベルとホスト設定に基づいて実行されるアクション:ブロックまたは許可。

世界的な普及率

このファイルがさまざまな顧客で表示される頻度。

最終スキャン

不審なファイルを検出するための最後のスキャンの日時。

ファイル名

不審なファイルの名前。例:unzipper-setup.exe、20160223158005.exe、wordmui.msi。

カテゴリ

ファイルの種類。例: PDF、実行可能ファイル、ドキュメント。

ファイルサイズ

ダウンロードしたファイルのサイズ。

プラットホーム

ファイルのターゲット・オペレーティング・システム。例。Win32の

マルウェア名

可能な場合は、Juniper ATP Cloudがマルウェアの名前を特定します。

種類

可能な場合は、Juniper ATP Cloud が脅威のタイプを特定します。例:トロイの木馬、アプリケーション、アドウェア。

濾す

可能な場合は、Juniper ATP Cloud が検知されたマルウェアの種類を判断します。例: Outbrowse.1198、Visicom.E、Flystudio。

その他の詳細

  

SHA256 と MD5

ファイルがマルウェアかどうかを判断する方法の 1 つは、ファイルのチェックサムを計算し、そのファイルが以前にマルウェアとして識別されたことがあるかどうかを照会することです。

[ネットワーク アクティビティ(Network Activity)] セクションの情報は、次のタブで確認できます:

手記:

ネットワーク アクティビティがない場合、このセクションは空白で表示されます。

  • [Contacted Domains]:利用可能な場合は、Juniper ATP Cloudサンドボックスでファイルを実行しているときにコンタクトしたドメインがリストアップされます。

  • [Contacted IPs]:ファイルの実行中にコンタクトしたすべての IP が、宛先 IP の国、ASN、レピュテーションとともにリストされます。レピュテーションフィールドは、Juniper IPインテリジェンスデータ送信先に基づいています。

  • [DNS Activity]:このタブには、外部から接続されているサーバのドメイン名を検索するためのリバースルックアップなど、ファイル実行中のDNSアクティビティが一覧表示されます。このタブには、宛先サーバーの既知のレピュテーションも表示されます。

[動作の詳細] セクションでは、システム上のファイルの動作を表示できます。これには、開始されたプロセス、ドロップされたファイル、およびファイルの実行中に見られたネットワーク アクティビティが含まれます。ドロップされたファイルは、元のファイルによってダウンロードおよびインストールされた追加のファイルです。

関連資料