[すべてのセキュリティ イベント] ページについて
このページにアクセスするには、[> ログの監視] > [すべてのセキュリティ イベント] をクリックします。
このページを使用すると、ネットワーク環境の全体像を把握できます。ログデータを関連付けて分析すると、異常なイベント、攻撃、ウイルス、またはワームを表示できます。
次の例は、[すべてのセキュリティ イベント] ページに表示されるログの種類を示しています。
-
AV_VIRUS_DETECETED
-
IDP_ATTACK_LOG_EVENT
-
CONTENET_FILETER_BLOCKED
-
ANTISPAM_SPAM_DETECTED_MTSECINTEL_ACTION_LOG
-
AAMW_ACTION_LOG
-
SMS_MALICIOUS_VERDICT
-
RT_FLOW_SESSION_DENY
-
TUN-STATUS-ALERT
-
SECINTEL_ACTION_LOG
-
AAMW_SMS_STREAMING_LOG
-
ANTI_VIRUS_ACTION_LOG
このページでは、高度なフィルタリングメカニズムと、ログコレクタによって収集された実際のイベントに対する可視性を管理者に提供します。時間範囲スライダーを使用すると、最も関心のあるアクティビティの領域に集中できます。時間範囲を選択すると、ビューに表示されるすべてのデータが自動的に更新されます。カスタムボタンを使用して、カスタム時間範囲を設定することもできます。
データを表示するには、2 つの方法があります。[ 概要ビュー ] タブまたは [ 詳細ビュー] タブのいずれかを選択できます。
この情報は、VPN イベントのシステム syslog と、他のすべてのイベントのポリシーでロギングが有効になっている場合は IPS、コンテンツ セキュリティ、ファイアウォール拒否ログから取得されます。
実行できるタスク
このページから、次のタスクを実行できます。
概要ビュー
ネットワーク内のすべてのイベントの概要を表示できます。ページの中央には、イベントの総数、検出されたウイルス、動作していないインターフェイスの総数、攻撃の数、CPUスパイク、システムの再起動、セッションなどの重要な情報が表示されます。このデータは、選択した時間範囲に基づいて自動的に更新されます。
ページの下部には、特定の時間に発生しているさまざまなイベントのエリアビューがあります。イベントには、ファイアウォール、Web フィルタリング、VPN、コンテンツ フィルタリング、アンチスパム、アンチウィルス、スクリーン、IPS、および IPsec VPN が含まれます。各イベントは色分けされており、暗い色合いはより高いレベルのアクティビティを表します。各タブには、その特定の時間に発生したイベントの種類や数などの詳細な情報が表示されます。
表 1 に、「すべてのイベントの概要ビュー」ページのウィジェットを示します。
畑 |
形容 |
---|---|
合計イベント数 |
ファイアウォール、Web フィルタリング、IPS、IPsec VPN、コンテンツ フィルタリング、アンチスパム、アンチウィルス、およびスクリーン イベントを含むイベントの総数を表示します。 |
ファイアウォール |
ファイアウォールによってブロックされたイベントの合計数を表示します。 |
Web フィルタリング |
許可およびブロックされた URL の合計数を表示します。 |
スクリーン |
ブロックされた画面イベントの合計数を表示します。 |
ティッカー |
IDP エンジンによって表示され、重大、高、中として分類されたデータを表示します。 |
コンテンツ フィルタリング |
ブロックされたトラフィックの詳細を表示します。 |
アンチスパム |
ブロックされたトラフィックの詳細を表示します。 |
ウイルス 対策 |
ブロックされたトラフィックの詳細を表示します。 |
詳細ビュー
[グループ化] オプションを使用してイベントを並べ替えることができます。たとえば、脅威の重大度に基づいてイベントを並べ替えることができます。このテーブルには、イベントの原因となったルール、イベントの重大度、イベント ID、トラフィック情報、イベントが検出された方法とタイミングなどの情報が含まれています。
表 2 に、[すべてのイベント] 詳細ビュー ページのフィールドを示します。
田畑 |
形容 |
---|---|
時間 |
トラフィック ログが生成された時刻を表示します。 |
生成元 |
ログを生成したユーザーの名前を表示します。 |
トラフィック セッション ID |
サイトごとにイベントにマップされたセッション ID を表示します。 |
ユーザー名 |
ユーザー名を表示します。 |
送信元 IP |
イベントが発生した送信元 IP アドレス (IPv4 または IPv6) を表示します。 |
宛先 IP |
イベントの宛先 IP アドレス (IPv4 または IPv6) を表示します。 |
アプリケーション |
イベントをトリガーしたトラフィックに関連付けられているアプリケーションの名前を表示します。 |
ネストされたアプリケーション |
レイヤー 7 アプリケーションの名前を表示します。 |
脅威の重大度 |
イベントの脅威の重大度を表示します。 |
URL |
トラフィック ログをトリガーしたアクセスした URL 名を表示します。 再分類できるのは、Juniper NextGen URLカテゴリのみです。URL を再分類するには、[ その他 ] をクリックし、[ URL 分類をリクエスト] を選択します。[要求 URL の分類] ページが開きます。 URL の再分類の詳細については、「 URL の再分類を要求する」を参照してください。 |
名前 |
イベントの名前を表示します。 |
受信時刻 |
Juniper Security Director Cloudがトラフィックログを受信した時刻を表示します。 |
ポリシー名 |
ログ内のポリシー名を表示します。 |
イベント名 |
トラフィック ログのイベント名を表示します。 |
原産国 |
イベントの発生元の国名を表示します。 |
仕向国 |
イベントが発生した宛先の国名を表示します。 |
送信元ポート |
イベントの送信元ポートを表示します。 |
宛先ポート |
イベントの宛先ポートを表示します。 |
形容 |
ログの説明を表示します。 |
攻撃名 |
ログの攻撃名 (トロイの木馬、ワーム、ウイルスなど) を表示します。 |
カテゴリ |
トラフィック ログのイベント カテゴリ(ファイアウォールまたは APPTRACK)を表示します。 |
クライアントのホスト名 |
イベントをトリガーしたトラフィックに関連付けられたクライアントのホスト名。たとえば、特定のコンピューターが感染している場合、そのコンピューターの名前が表示されます。 |
イベント カテゴリ |
トラフィック ログのイベント カテゴリ(ファイアウォールまたは APPTRACK)を表示します。 |
引数 |
トラフィックのタイプ(FTPとHTTP)を表示します。 |
アクション |
イベントに対して実行されたアクション (警告、許可、ブロック) を表示します。 |
サービス名 |
イベントをトリガーしたトラフィックに使用されるレイヤー 4 サービスの名前(FTP、HTTP、SSH など)を表示します。 |
ソースゾーン |
サイトのソースゾーンを表示します。 |
宛先ゾーン |
サイトの宛先ゾーンを表示します。 |
プロトコル ID |
イベントをトリガーしたトラフィックのプロトコル ID を表示します。 |
役割 |
イベントに関連付けられているロール名を表示します。 |
理由 |
無制限のアクセスなど、ログ生成の理由を表示します。 |
NAT 送信元ポート |
NAT 後のトラフィックの送信元ポートを表示します。 |
NAT 宛先ポート |
NAT 後のトラフィックの宛先ポートを表示します。 |
NAT 送信元ルール名 |
送信元NATルール名を表示します。 |
NAT 宛先ルール名 |
宛先NATルール名を表示します。 |
NAT 送信元 IP |
IP アドレス変換後の送信元 IP アドレスを表示します。 |
NAT 宛先 IP |
IP アドレス変換後の宛先 IP アドレスを表示します。 |
パス名 |
ログのパス名を表示します。 |
論理システム名 |
論理システム名を表示します。 |
ルール名 |
ルール名を表示します。 |
プロファイル名 |
ログをトリガーしたイベント プロファイルの名前を表示します。 |
マルウェア情報 |
イベントの原因となったマルウェアに関する情報を表示します。 |
送信元 VRF グループ名 |
イベントを生成した送信元 VRF グループ名を表示します。 |
宛先 VRF グループ名 |
イベントを生成した宛先 VRF グループ名を表示します。 |
ファイル名 |
ウイルスのフラグが立てられたファイルの名前を表示します。 |
ファイルカテゴリ |
ウイルスのフラグが立てられたファイルの種類 (PDF、Word 文書、実行可能ファイルなど) を表示します。 |
判定番号 |
ウイルスとして検出されたファイルの設定された判定しきい値番号を表示します。 |
ウイルス情報 |
ウイルスシグネチャのヒットの総数を表示します。 |
ウイルスデータベースのバージョン |
署名データベースのバージョンを表示します。 |