Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

脅威ソースの詳細

このページにアクセスするには、[脅威ソース] ページから [外部サーバー] リンクをクリックします。

脅威ソースの詳細ページを使用して、脅威ソースの分析情報と脅威の概要を表示します。脅威の発生元ごとに、以下の情報が表示されます。

  • 脅威の概要(場所、カテゴリ、ホスト名、および確認時間)

  • 総ヒット数

  • プロトコルとポート(TCP および UDP)

タイプC&Cの脅威ソースについては、脅威ソースを許可リストに追加するか、脅威ソースの詳細ページからジュニパーネットワークスに誤検知として報告できます。

DNS タイプの脅威ソースについては、脅威ソースを誤検知としてジュニパーネットワークスにのみ報告できます。

表 1: 脅威ソースの詳細ページ(ページの右上)のオプション

ボタン/リンク

目的

[ホワイトリストに追加>オプションを選択します

脅威ソースを許可リストに追加するには、このオプションを選択します。

警告:

脅威ソースを許可リストに追加すると、修復プロセスが自動的にトリガーされ、新しく許可リストに登録された脅威ソースに接続した影響を受けるホスト(そのレルム内)が更新されます。

この許可リストに登録されたサーバーに関連するすべてのC&Cイベントは、影響を受けるホストのイベントから削除され、ホストの脅威レベルの再計算が行われます。

この再計算中にホスト スコアが変更されると、再スコアリングされた理由を説明する新しいホスト イベントが表示されます。(例:「脅威ソース 1.2.3.4 がクリアされた後にホストの脅威レベルが更新されました」など)。さらに、脅威ソースはクリアされているため、脅威ソースのリストに表示されなくなります。

注:

[ 構成 ] ページ> [ 許可リスト ] ページから脅威ソースを許可リストに登録することもできます。詳細については、許可リストとブロックリストの作成 を参照してください。

[誤検知として報告する>オプションを選択します

このオプションを選択すると、新しい画面が表示され、ジュニパーネットワークスにレポートを送信して、誤った立場または偽陰性をジュニパーに通知できます。ジュニパーがレポートを調査します。ただし、これは評決を変更しません。

[時間範囲] の下には、時間の経過に伴うイベントの頻度を表示するグラフがあります。イベントは、ホストが脅威の送信元 IP アドレスと通信するときに発生します (データの送信または受信)。この情報のフィルタリングには、時間枠のリンクをクリックします。1日、1週間、1か月、カスタム(独自の時間枠を選択してください)。

ホストは、サーバーに接続したホストのリストです。このセクションで提供される情報は次のとおりです。

表 2: 脅威ソースに接続したホストデータ

フィールド

定義

クライアント ホスト

脅威の発生元と接触しているホストの名前。

クライアントIPアドレス

脅威送信元と接触しているホストの IP アドレス。(クリックしてこのホスト IP の [ホストの詳細] ページに移動します)。

脅威レベル

イベント発生時のアクションと動作の分析によって決定される脅威ソースの脅威レベル。

状態

通信に対してデバイスによって実行されたアクション (許可されたか、陥没穴が見つかったか、ブロックされたか)。

プロトコル

通信を試みるために使用される脅威の送信元であるプロトコル(TCP または UDP)。

送信元ポート

脅威ソースが通信の試行に使用したポート。

装置名

脅威の発生元と接触しているデバイスの名前。

見られた日付/時間

最新の脅威ソースがヒットした日時。

ユーザー名

脅威の発生元と接触しているホストユーザーの名前。

ドメインは、疑わしいイベントが発生したときにIPアドレスが以前に使用したドメインのリストです。脅威の送信元IPアドレスが検出を回避するためにDNS/ドメイン名を変更していることが判明した場合、使用されているさまざまな名前のリストが、それらが表示された日付とともに一覧表示されます。

表 3: 脅威送信元の関連ドメインデータ

フィールド

定義

C & C Host

これは、脅威の送信元イベントの宛先IPアドレスが解決されたドメインのリストです。

最終確認

脅威ソースサーバーが最後にヒットした日時。

シグネチャ は、IPアドレスに関連付けられた脅威インジケータのリストです。ジュニパーの「グローバル脅威フィード」によってブロックされた脅威ソースには、ドメインやシグネチャが表示されます。(脅威ソースリストの下の「ブロックされた経由」列には、脅威の送信元IPアドレスがジュニパーの「グローバル脅威フィード」で見つかったか、別の設定済みカスタムフィードで見つかったかが表示されます)。

表 4: 脅威ソースのシグネチャデータ

フィールド

定義

お名前

検出されたマルウェアの名前または種類。

カテゴリー

マルウェアの説明と、マルウェアがリソースを侵害した可能性のある方法。

日付

マルウェアが検出された日付。

証明書は、脅威の発生元に関連付けられている証明書のリストです。

表 5: 脅威送信元証明書データ

フィールド

定義

証明書ハッシュ

脅威の送信元の証明書ハッシュが表示されます。

見られた日付/時間

証明書ハッシュ ファイルが最後に更新された日時。