脅威マップの監視
ごここにいる:>マップとチャート>脅威マップを監視します。
脅威マップページは、SRX5000シリーズのデバイスを除くすべてのSRXシリーズデバイスで利用できます。
このページを使用して、地理的地域間の送受信される脅威を視覚化します。侵入防御システム(IPS)、アンチウィルス、アンチスパム エンジン、Juniper ATP Cloud、screen オプションからのフィードに基づいて、ブロックおよび許可された脅威イベントを表示できます。また、特定の地理的な場所をクリックして、イベント数と、インバウンドとアウトバウンドのIPアドレスの上位5つを表示することもできます。
脅威マップ(ライブ)ページでデータを表示するには、以下を確認します。
セキュリティロギングが有効になっています。そうでない場合は、 デバイス管理 > 基本設定 > セキュリティロギング にアクセスし、 ストリームモードロギングを有効にします。
デバイスに必要なファイアウォールポリシーが設定されています。
必要なライセンスは、IPS およびアンチウィルス用に構成されています。
お使いのデバイスがJuniper ATPクラウドサーバーに登録されています。
脅威データは、その日の午前 12 時(深夜)から現在の時刻(時間帯)まで表示され、30 秒ごとに更新されます。現在の日付と時刻が右上に表示され、ページの左下に凡例が表示されます。
ページを表示しているときに脅威が発生した場合、アニメーションには、脅威が発信された国(送信元)と、脅威が発生した国(宛先)が表示されます。
未知の地理的IPアドレスとプライベートIPアドレスを持つ脅威は、UNKNOWN_COUNTRYとして表示されます。
フィールドの説明
表 1 に、脅威マップ(ライブ)ページのフィールドを表示します。
フィールド |
説明 |
|---|---|
ブロックされた脅威の総数 & 許可 |
ブロックおよび許可された脅威の総数を表示します。ハイパーリンクされた番号をクリックすると、[すべてのイベントの監視 > ログ > すべてのイベント]ページ([グリッド ビュー]タブのフィルタリングされたビュー)に移動し、IPS、ウィルス、スパム、Juniper ATP クラウド、スクリーン イベントの詳細な情報を表示できます。 |
ブロックされた脅威と許可された脅威 |
ブロックされ、次のカテゴリによって許可された脅威の総数を表示します。
|
上位の宛先国 |
宛先の上位 5 か国と 1 か国あたりの脅威数が表示されます。 |
上位ソースの国 |
上位 5 つのソース国と、国ごとの脅威の数が表示されます。 |
脅威タイプ
脅威マップページには、IPS、アンチウィルス、アンチスパムエンジン、Juniper ATP Cloud、screenオプションのフィードに基づいて、ブロックおよび許可された脅威イベントが表示されます。 表 2 は、ブロックおよび許可されたさまざまな種類の脅威を示しています。
攻撃 |
説明 |
|---|---|
IPS 脅威イベント |
IDP モジュールによって検知された侵入検出および防御(IDP)攻撃。 攻撃に関して報告された情報([IPS](>ログの監視>脅威)ページに表示される情報には、以下の情報が含まれます。
|
ウイルス |
ウィルス対策エンジンによって検出されたウィルス攻撃。 攻撃に関して報告された情報([Monitor > Logs > Threats](脅威のログ)ページに表示される)には、以下の情報が含まれます。
|
スパム |
ブラックリストのスパム電子メールに基づいて検出される電子メール スパム。 攻撃に関して報告された情報([アンチスパム](Monitor > Logs >脅威)ページに表示される情報には 、以下の 情報が含まれます。
|
ジュニパーATPクラウド |
Juniper ATPクラウドポリシーに基づいて検出されるイベント。 攻撃に関して報告された情報(画面(ATP ページに表示される>ログ>監視)には、以下の情報が含まれます。
|
画面 |
画面オプションに基づいて検出されるイベント。 攻撃に関して報告された情報(画面(モニター > ログ >脅威)には 、以下の 情報が含まれます。
|
実行できるタスク
このページでは、以下のタスクを実行できます。
データの更新とライブ更新の許可の切り替え - [ 一時停止 ] アイコンをクリックすると、ページが脅威マップ データの更新を停止し、アニメーションが停止されます。[ 再生 ] アイコンをクリックすると、ページ データが更新され、アニメーションが再開されます。
ページの拡大/縮小 — ページの拡大/縮小 (+) をクリックし、(–) アイコンをズーム アウトしてページを拡大/縮小します。
ページをパン — マウスをクリックしてドラッグしてページをパンします。
国固有の詳細を表示します。
脅威マップ上の国をクリックして、その国固有の脅威情報を表示します。 国名の ポップアップが表示され、国固有の情報が表示されます。
[国名] ポップアップで [詳細の表示] をクリックして、その他の詳細を表示します。国名(詳細)パネルが表示されます。
表 3 は、国固有の脅威情報の詳細を示しています。
フィールド |
説明 |
|---|---|
国名ポップアップで表示 |
|
脅威イベント数 午前 12 時以降の脅威イベント |
その国の深夜からの脅威イベント(インバウンドとアウトバウンド)の総数を表示します。 |
インバウンド(脅威イベント数) |
国のインバウンド脅威の総数と、上位 5 つのインバウンド イベントの IP アドレスの IP アドレスのイベント数を表示します。 [ すべて表示 ] をクリックすると、すべての宛先 IP アドレスと脅威イベント数が表示されます。 |
アウトバウンド(脅威イベント数) |
国のアウトバウンド脅威の総数と、上位5つのアウトバウンドイベントのIPアドレスのイベント数を表示します。 [ すべて表示 ] をクリックすると、脅威イベント数を含むすべての送信元 IP アドレスが表示されます。 |
詳細を表示 — 国名(詳細)パネルに表示 |
|
脅威イベント数 午前 12 時以降の脅威イベント |
その国の深夜からの脅威イベント(インバウンドとアウトバウンド)の総数を表示します。 |
インバウンド イベント数 |
国のインバウンド脅威の総数と、以下の各カテゴリのインバウンド脅威イベントの数を表示します。
トップ 5 IP アドレス(インバウンド)をクリックすると、上位 5 つのインバウンド イベントの IP アドレスとその IP アドレスのイベント数が表示されます。 [すべての IP アドレスの表示] をクリックすると、その IP アドレスのすべての宛先 IP アドレスとイベント数が表示されます。
メモ:
[上位 5 つの IP アドレス (インバウンド)] をクリックした後にのみ 、[すべての IP アドレスを表示] を表示または選択できます。 |
アウトバウンド イベント数 |
国のアウトバウンド脅威の総数と、以下の各カテゴリーのアウトバウンド脅威イベントの数を表示します。
トップ 5 IP アドレス(アウトバウンド)をクリックすると、上位 5 つのアウトバウンド イベントの IP アドレスとその IP アドレスのイベント数が表示されます。 [すべての IP アドレスの表示] をクリックすると、その IP アドレスのすべての送信元 IP アドレスとイベント数が表示されます。
メモ:
[トップ 5 IP アドレス(アウトバウンド)]をクリックした後にのみ、[すべての IP アドレスを表示]を表示または選択できます。 |