脅威の監視マップ
現在のページ: >マップとチャート>脅威マップを監視します。
脅威マップ ページは、SRX5000 シリーズ デバイスを除くすべての SRX シリーズ デバイスで使用できます。
このページを使用して、地域間の送受信する脅威を可視化します。侵入防御システム(IPS)、アンチウィルス、アンチスパム エンジン、Juniper ATP Cloud、screen オプションからのフィードに基づいて、ブロックおよび許可された脅威イベントを表示できます。また、特定の地理的な場所をクリックして、イベント数と、インバウンドおよびアウトバウンドIPアドレスの上位5つを表示することもできます。
脅威マップ(ライブ)ページでデータを表示するには、次の点を確認します。
セキュリティ ロギングが有効になっています。未設定の場合は、 デバイス管理 > 基本設定 > セキュリティ ロギング に移動し、 ストリーム モードのロギングを有効にします。
デバイスに必要なファイアウォール ポリシーが設定されています。
必要なライセンスは、IPS およびアンチウィルス用に構成されています。
お使いのデバイスが Juniper ATP Cloud サーバーに登録されています。
脅威データは、その日の午前 12 時(深夜)から現在の時刻(タイム ゾーン)まで表示され、30 秒ごとに更新されます。現在の日付と時刻が右上に表示され、ページの左下に凡例が表示されます。
ページを表示しているときに脅威が発生した場合、アニメーションは、脅威の発生元(送信元)と脅威が発生した国(宛先)を示します。
未知の地理的IPアドレスとプライベートIPアドレスを持つ脅威は、UNKNOWN_COUNTRYとして表示されます。
フィールドの説明
表 1 に、脅威マップ(ライブ)ページのフィールドを表示します。
フィールド |
説明 |
|---|---|
ブロックされた脅威の総数と許可 |
ブロックおよび許可された脅威の合計数を表示します。ハイパーリンクされた番号をクリックすると、すべてのイベント([ログの監視 >]>[すべてのイベント])ページ([グリッドビュー]タブのフィルタ済みビュー)に移動し、IPS、ウィルス、スパム、Juniper ATP Cloud、スクリーンイベントの詳細を表示できます。 |
ブロックされた脅威と許可 |
ブロックされ、次のカテゴリによって許可された脅威の合計数が表示されます。
|
上位の宛先国 |
上位 5 か国の宛先国と 1 か国あたりの脅威数が表示されます。 |
上位のソース国 |
上位 5 つのソース国と、国ごとの脅威の数が表示されます。 |
脅威タイプ
脅威マップ ページには、IPS、アンチウィルス、アンチスパム エンジン、Juniper ATP Cloud、screen オプションのフィードに基づいて、ブロックおよび許可された脅威イベントが表示されます。 表 2 は、ブロックおよび許可されるさまざまな種類の脅威を示しています。
攻撃 |
説明 |
|---|---|
IPS 脅威イベント |
IDP モジュールによって検知された侵入検知防御(IDP)攻撃。 攻撃に関して報告された情報(IPS([>ログの監視>脅威]ページに表示)には、以下の情報が含まれています。
|
ウイルス |
ウィルス対策エンジンによって検知されたウィルス攻撃。 攻撃に関して報告された情報(ウィルス対策([Monitor > Logs > Threats ]ページに表示)には、以下の情報が含まれています。
|
スパム |
ブラックリストのスパム電子メールに基づいて検出された電子メール スパム。 攻撃に関して報告された情報(「アンチスパム(Monitor > Logs > Threats 」ページに表示)には、以下の情報が含まれます。
|
Juniper ATP Cloud |
Juniper ATPクラウドポリシーに基づいて検出されたイベント。 攻撃に関して報告された情報(画面(ATP ページ>>ログの監視)には、以下の情報が含まれています。
|
画面 |
screen オプションに基づいて検出されるイベント。 攻撃に関して報告された情報(画面([Monitor > Logs > Threats](脅威の監視)ページ)には、以下の情報が含まれています。
|
実行できるタスク
このページでは、以下のタスクを実行できます。
データの更新とライブアップデートの許可の切り替え - [ 一時停止 ] アイコンをクリックすると、ページが脅威マップ データの更新を停止し、アニメーションが停止します。[ 再生 ] アイコンをクリックしてページ データを更新し、アニメーションを再開します。
ページを拡大/縮小 — ページを拡大/縮小するには、ズームイン(+)アイコンとズームアウト(–)アイコンをクリックします。
ページをパンする — マウスをクリックしてドラッグしてページをパンします。
国ごとの詳細を表示:
脅威マップ上の国をクリックすると、その国固有の脅威情報が表示されます。 国名 ポップアップが表示され、国固有の情報が表示されます。
国名ポップアップで [詳細を表示] をクリックして、その他の詳細を表示します。国名(詳細)パネルが表示されます。
表 3 は、国固有の脅威情報の詳細を示しています。
フィールド |
説明 |
|---|---|
国名ポップアップに表示 |
|
脅威イベント数 午前 12:00 以降の脅威イベント |
その国の真夜中以降の脅威イベント(インバウンドおよびアウトバウンド)の合計数を表示します。 |
インバウンド(脅威イベント数) |
国のインバウンド脅威の総数、および上位5つのインバウンドイベントのIPアドレスのIPアドレスのイベント数を表示します。 [ すべて表示 ] をクリックすると、すべての宛先 IP アドレスと脅威イベント数が表示されます。 |
アウトバウンド(脅威イベント数) |
国のアウトバウンド脅威の合計数と、上位 5 つのアウトバウンド イベントの IP アドレスの IP アドレスのイベント数を表示します。 [ すべて表示 ] をクリックすると、すべてのソース IP アドレスと脅威イベント数が表示されます。 |
詳細を表示 — 国名(詳細)パネルに表示 |
|
脅威イベント数 午前 12:00 以降の脅威イベント |
その国の真夜中以降の脅威イベント(インバウンドおよびアウトバウンド)の合計数を表示します。 |
インバウンドイベント数 |
国のインバウンド脅威の総数と、以下のカテゴリーごとのインバウンド脅威イベントの数を表示します。
トップ 5 の IP アドレス(インバウンド) をクリックして、上位 5 つのインバウンド イベントの IP アドレスとその IP アドレスのイベント数を表示します。 [ すべての IP アドレスを表示 ] をクリックすると、その IP アドレスのすべての宛先 IP アドレスとイベント数が表示されます。
メモ:
[トップ 5 IP アドレス(インバウンド)]をクリックした後にのみ、すべての IP アドレスを表示または選択できます。 |
送信イベント数 |
国のアウトバウンド脅威の合計数と、次のカテゴリの各アウトバウンド脅威イベントの数を表示します。
[上位 5 個の IP アドレス(アウトバウンド)] をクリックすると、上位 5 つのアウトバウンド イベントの IP アドレスとその IP アドレスのイベント数が表示されます。 [ すべての IP アドレスを表示 ] をクリックすると、すべての送信元 IP アドレスとその IP アドレスのイベント数が表示されます。
メモ:
[トップ 5 IP アドレス(アウトバウンド)]をクリックした後にのみ、[すべての IP アドレスを表示] を表示または選択できます。 |