脅威の概要
このページにアクセスするには、 をクリックします。
脅威ページでは、IPSポリシーに基づくセキュリティイベントに関する情報を表示できます。IPSとコンテンツセキュリティログを分析することで、異常なイベント、攻撃、ウイルス、ワームなど、セキュリティ管理に役立つ情報が得られます。
以下の例は、脅威ページに表示されるログのタイプを示しています。
-
AV_VIRUS_DETECETED
-
AV_FILE_NOT_SCANNED_DROPPED_MT、IDP_ATTACK_LOG_EVENT
-
CONTENET_FILETER_BLOCKED
-
ANTISPAM_SPAM_DETECTED_MT
-
RT_AAMW - AAMW_HOST_INFECTED_EVENT_LOG
-
SMS_MALICIOUS_VERDICT
-
ANTI_VIRUS_ACTION_LOG
時間範囲スライダーを使用して、最も関心のあるアクティビティ領域に焦点を当てることができます。時間範囲を選択すると、ビューに表示されるすべてのデータが自動的に更新されます。カスタムボタンを使用して、カスタム時間範囲を設定することもできます。
データを表示するには、 概要ビュー タブまたは 詳細ビュー タブを選択します。
この情報は、IPSおよびコンテンツセキュリティ機能から得られています。
概要ビュー
エリアグラフに表示されるデータは、選択した時間範囲に基づいて自動的に更新されます。ウィジェットを使用して、IPSの重大度、上位のソース、上位の宛先、上位の報告デバイス、上位のIPS攻撃、上位の送信元国、上位の宛先国などの重要な情報を表示できます。
表1 は、詳細ビューページのウィジェット使用に関するガイドラインを示しています。
| 畑 |
形容 |
|---|---|
| IPSの重大度 |
重大度レベル(重大度、高、中)に基づいて、イベントの上位IPS重大度を表示します。 |
| 上位のソース |
イベント発生数順にソートされたネットワークトラフィックの上位送信元IPアドレスを表示します。 |
| 上位の宛先 |
イベント発生数別にソートされたネットワークトラフィックの上位宛先IPアドレスを表示します。 |
| 上位のレポート/攻撃を受けたデバイス |
IPSイベントによって攻撃された上位デバイスを、ネットワーク上でユーザーがアクティブになっている回数で表示します。 |
| 上位のIPS攻撃 |
デバイスが攻撃された時間順に並べられたネットワークトラフィック内の上位IPS攻撃を表示します。 |
| 送信元の上位国 |
イベント送信元が発信された上位送信元国をIPアドレス数順に表示します。 |
| 上位の宛先国 |
イベント送信元が発信された宛先国をIPアドレス数順に表示します。 |
| 上位のウイルス |
カウント順にソートされた最大ブロック数でウイルスを表示します。 |
| ソース別上位スパム |
送信元IPアドレスによって検出されたスパム数を表示します。 |
詳細ビュー
グループ化オプションを使用してイベントをソートできます。例えば、脅威の重大度に基づいてイベントをソートできます。テーブルには、イベントを発生させたルール、イベントの重大度、イベントID、トラフィック情報、イベントが検出された方法と時期などの情報が含まれています。
エクスポート ログ をクリックしてイベントログをダウンロードします。ログをZIPにエクスポートウィンドウが開きます。データは、CSV形式でZIPフォルダ内にダウンロードされます。
表2 は、詳細ビューページのフィールドの使用に関するガイドラインを示しています。
| 田畑 |
形容 |
|---|---|
| 時間 |
トラフィックログが生成された時刻を表示します。 |
| 作成者: |
ログを生成したユーザーの名前を表示します。 |
| イベント名 |
トラフィックログのイベント名を表示します。 |
| 攻撃名 |
トロイの木馬、ワーム、ウイルスなど、ログの攻撃名を表示します。 |
| 脅威の重大度 |
イベントの脅威の重大度を表示します。 |
| ユーザー名 |
ユーザー名を表示します。 |
| URL |
トラフィックログをトリガーしたアクセスURL名を表示します。 |
| ネストされたアプリケーション |
レイヤー7アプリケーションの名前を表示します。 |
| アクション |
イベントに対して実行されたアクション(警告、許可、ブロック)を表示します。 |
| 送信元IP |
イベントが発生した送信元IPアドレス(IPv4またはIPv6)を表示します。 |
| 宛先IP |
イベントの宛先IPアドレス(IPv4またはIPv6)を表示します。 |
| 宛先ポート |
イベントの宛先ポートを表示します。 |
| 受信時刻 |
Juniper Security Director Cloudがトラフィックログを受信した時刻を表示します。 |
| ポリシー名 |
ログ内のポリシー名を表示します。 |
| 送信元国 |
イベントが発生した場所の発信元国名を表示します。 |
| 目的地国 |
イベントが発生した場所から宛先の国名を表示します。 |
| 送信元ポート |
イベントの送信元ポートを表示します。 |
| 形容 |
ログの説明を表示します。 |
| 名前 |
イベントの名前を表示します。 |
| カテゴリ |
脅威のイベントカテゴリ(アンチスパム、アンチウィルス、Webフィルタリング、IPS)を表示します。 |
| クライアントホスト名 |
イベントをトリガーしたトラフィックに関連付けられているクライアントのホスト名を表示します。たとえば、特定のコンピュータが感染した場合、そのコンピュータの名前が表示されます。 |
| イベントカテゴリ |
トラフィックログのイベントカテゴリ(ファイアウォールまたはAPPTRACK)を表示します。 |
| 引数 |
トラフィックのタイプを表示します。—FTPとHTTP |
| アプリケーション |
イベントをトリガーしたトラフィックに関連付けられたアプリケーションの名前を表示します。 |
| ホスト名 |
ログが生成されたデバイスのホスト名 |
| サービス名 |
イベントをトリガーしたトラフィックに使用されたレイヤー4サービス(FTP、HTTP、SSHなど)の名前を表示します。 |
| 送信元ゾーン |
サイトの送信元ゾーンを表示します。 |
| 宛先ゾーン |
サイトの宛先ゾーンを表示します。 |
| プロトコルID |
イベントをトリガーしたトラフィックのプロトコルIDを表示します。 |
| 役割 |
イベントに関連付けられたロール名を表示します。 |
| 理由 |
ログ生成の理由(無制限アクセスなど)を表示します。 |
| NAT送信元ポート |
NAT後のトラフィックの送信元ポートを表示します。 |
| NAT宛先ポート |
NAT後のトラフィックの宛先ポートを表示します。 |
| NAT送信元ルール名 |
送信元NATルール名を表示します。 |
| NAT宛先ルール名 |
宛先NATルール名を表示します。 |
| NAT送信元IP |
IPアドレス変換後の送信元IPアドレスを表示します。 |
| NAT宛先IP |
IPアドレス変換後の宛先IPアドレスを表示します。 |
| トラフィックセッションID |
サイト別にイベントにマッピングされたセッションIDを表示します。 |
| パス名 |
ログのパス名を表示します。 |
| 論理システム名 |
論理システム名を表示します。 |
| ルール名 |
ルール名を表示します。 |
| プロファイル名 |
ログをトリガーしたWebフィルタリングプロファイルの名前を表示します。 |
| マルウェア情報 |
イベントを引き起こしたマルウェアに関する情報を表示します。 |
| 送信元VRFグループ名 |
イベントを生成した送信元VRFグループ名を表示します。 |
| 宛先VRFグループ名 |
イベントを生成した宛先VRFグループ名を表示します。 |
| ファイル名 |
ウイルスに対してフラグが付けられたファイルの名前を表示します。 |
| ファイルカテゴリ |
PDF、Wordドキュメント、実行ファイルなど、ウイルスに対してフラグが立てられたファイルのタイプを表示します。 |
| 判定番号 |
ウイルスとして検出されたファイルの設定された判定しきい値を表示します。 |
| ウイルス情報 |
ウイルスシグネチャのヒット総数を表示します。 |
| ウイルスデータベースのバージョン |
シグネチャデータベースのバージョンを表示します。 |