[脅威] ページについて
このページにアクセスするには 、[Monitor > Logs > Threats] をクリックします。
[脅威] ページを使用して、IPS ポリシーに基づくセキュリティ イベントに関する情報を表示します。IPSおよびコンテンツセキュリティログを分析すると、異常なイベント、攻撃、ウイルス、ワームなどの有用なセキュリティ管理情報が得られます。
次の例は、[脅威] ページに表示されるログの種類を示しています。
-
AV_VIRUS_DETECETED
-
AV_FILE_NOT_SCANNED_DROPPED_MT、IDP_ATTACK_LOG_EVENT
-
CONTENET_FILETER_BLOCKED
-
ANTISPAM_SPAM_DETECTED_MT
-
RT_AAMW - AAMW_HOST_INFECTED_EVENT_LOG
-
SMS_MALICIOUS_VERDICT
-
ANTI_VIRUS_ACTION_LOG
時間範囲スライダーを使用すると、最も関心のあるアクティビティの領域に焦点を合わせることができます。時間範囲を選択すると、ビューに表示されるすべてのデータが自動的に更新されます。カスタムボタンを使用して、カスタムの時間範囲を設定することもできます。
データを表示するには、2 つの方法があります。「 概要表示」 タブまたは 「詳細表示」 タブのいずれかを選択できます。
この情報は、IPS およびコンテンツ セキュリティ機能から取得されます。
実行可能なタスク
このページから次のタスクを実行できます。
-
ネットワーク内のすべての IPS イベントの簡単な概要を表示します。「 概要ビュー」を参照してください。
-
イベントの包括的な詳細を、並べ替え可能な列を含む表形式で表示します。 「詳細ビュー」を参照してください。
概要ビュー
面グラフに表示されるデータは、選択した時間範囲に基づいて自動的に更新されます。ウィジェットを使用して、IPS 重大度、上位送信元、上位宛先、上位レポート デバイス、上位 IPS 攻撃、上位送信元国、上位宛先国などの重要な情報を表示できます。
表 1 は、[Detail View] ページでウィジェットを使用する際のガイドラインを示しています。
| 畑 |
形容 |
|---|---|
| IPS 重大度 |
重大度レベル(重大、高、中)に基づいて、イベントの上位の IPS 重大度を表示します。 |
| トップソース |
ネットワーク トラフィックの上位の送信元 IP アドレスをイベント発生数で並べ替えて表示します。 |
| 上位の宛先 |
ネットワーク トラフィックの上位の宛先 IP アドレスをイベント発生数で並べ替えて表示します。 |
| 上位の報告/攻撃デバイス |
IPS イベントにより攻撃された上位のデバイスを、ユーザーがネットワーク上でアクティブになっている回数でソートして表示します。 |
| 上位のIPS攻撃 |
デバイスが攻撃された回数順にソートされた、ネットワークトラフィック内のトップIPS攻撃を表示します。 |
| 送信元の上位国 |
イベントソースの発信元の上位の送信元の国を、IP アドレスの数で並べ替えて表示します。 |
| 上位の宛先国 |
イベントソースの送信元の送信先の国を、IP アドレスの数で並べ替えて表示します。 |
| 上位のウイルス |
ブロック数の最大数がカウント順にソートされたウイルスを表示します。 |
| 送信元別の上位スパム |
送信元 IP アドレスによって検出されたスパムの数を表示します。 |
詳細ビュー
[グループ化] オプションを使用してイベントを並べ替えることができます。たとえば、脅威の重大度に基づいてイベントを並べ替えることができます。この表には、イベントの原因となったルール、イベントの重大度、イベント ID、トラフィック情報、イベントが検出された方法と時間などの情報が含まれています。
「 ログのエクスポート 」をクリックして、イベント・ログ・データをダウンロードします。「ログをZIPにエクスポート」ウィンドウが開きます。データは、ZIPフォルダー内にCSV形式でダウンロードされます。
表 2 に、[詳細表示] ページのフィールドの使用に関するガイドラインを示します。
| 田畑 |
形容 |
|---|---|
| 時間 |
トラフィック ログが生成された時刻を表示します。 |
| 生成元 |
ログを生成したユーザーの名前を表示します。 |
| イベント名 |
トラフィックログのイベント名を表示します。 |
| 攻撃名 |
ログの攻撃名(トロイの木馬、ワーム、ウイルスなど)を表示します。 |
| 脅威の重大度 |
イベントの脅威の重大度を表示します。 |
| ユーザー名 |
ユーザー名を表示します。 |
| URL (英語) |
トラフィックログをトリガーしたアクセスURL名を表示します。 |
| 入れ子になったアプリケーション |
レイヤー 7 アプリケーションの名前を表示します。 |
| アクション |
イベントに対して実行されたアクション (警告、許可、ブロック) を表示します。 |
| 元 IP |
イベントが発生した送信元 IP アドレス (IPv4 または IPv6) を表示します。 |
| 宛先 IP |
イベントのIP アドレス(IPv4 または IPv6)を表示します。 |
| 宛先ポート |
イベントの宛先ポートを表示します。 |
| 受信時間 |
Juniper Security Director Cloudがトラフィックログを受信した時間を表示します。 |
| ポリシー名 |
ログにポリシー名を表示します。 |
| 送信元の国 |
イベントの発生元の送信元の国名を表示します。 |
| 宛先の国 |
イベントが発生した送信先の国名を表示します。 |
| 送信元ポート |
イベントの送信元ポートを表示します。 |
| 形容 |
ログの説明を表示します。 |
| 名前 |
イベントの名前を表示します。 |
| カテゴリ |
脅威のイベント カテゴリ(アンチスパム、アンチウイルス、Web フィルタリング、IPS)を表示します。 |
| クライアントホスト名 |
イベントをトリガーしたトラフィックに関連づけられているクライアントのホスト名を表示します。たとえば、特定のコンピュータが感染している場合、そのコンピュータの名前が表示されます。 |
| イベントカテゴリ |
トラフィックログのイベントカテゴリ(ファイアウォールまたはAPPTRACK)を表示します。 |
| 引数 |
トラフィックのタイプ(FTPとHTTP)を表示します。 |
| アプリケーション |
イベントをトリガーしたトラフィックに関連付けられているアプリケーションの名前を表示します。 |
| ホスト名 |
ログが生成されたデバイスのホスト名。 |
| サービス名 |
イベントをトリガーしたトラフィックに使用されたレイヤー4サービスの名前(FTP、HTTP、SSH など)を表示します。 |
| 送信元ゾーン |
サイトのソースゾーンを表示します。 |
| ゾーンと宛先 |
サイトの宛先ゾーンを表示します。 |
| プロトコル ID |
イベントをトリガーしたトラフィックのプロトコル ID を表示します。 |
| 役割 |
イベントに関連付けられているロール名を表示します。 |
| 理由 |
無制限のアクセスなど、ログが生成される理由を表示します。 |
| NAT 送信元ポート |
NAT後のトラフィックの送信元ポートを表示します。 |
| NAT 宛先ポート |
NAT後のトラフィックの宛先ポートを表示します。 |
| NAT 送信元ルール名 |
送信元 NAT ルール名を表示します。 |
| NAT 宛先ルール名 |
宛先 NAT ルール名を表示します。 |
| NAT 元 IP |
IPアドレス変換後の送信元IPアドレスを表示します。 |
| NAT 宛先 IP |
IPアドレス変換後のIP アドレスを表示します。 |
| トラフィック セッション ID |
サイト別にイベントにマッピングされたセッションIDを表示します。 |
| パス名 |
ログのパス名を表示します。 |
| 論理システム名 |
論理システム名を表示します。 |
| ルール名 |
ルール名を表示します。 |
| プロファイル名 |
ログを起動した Webフィルタリング プロファイルの名前を表示します。 |
| マルウェア情報 |
イベントの原因となっているマルウェアに関する情報を表示します。 |
| 送信元 VRF グループ名 |
イベントを生成した送信元 VRF グループ名を表示します。 |
| 宛先 VRF グループ名(Destination VRF Group Name) |
イベントを生成した宛先 VRF グループ名を表示します。 |
| ファイル名 |
ウイルスのフラグが立てられたファイルの名前を表示します。 |
| ファイル カテゴリ |
ウイルスのフラグが立てられたファイルの種類 (PDF、Word 文書、実行可能ファイルなど) を表示します。 |
| 判定番号 |
ウイルスとして検出されたファイルの設定された判定しきい値番号を表示します。 |
| ウイルス情報 |
ウイルス シグネチャのヒット数の合計を表示します。 |
| ウイルスデータベースバージョン |
シグネチャ データベースのバージョンを表示します。 |