[脅威] ページについて
このページにアクセスするには、[>ログ>脅威の監視] をクリックします。
[脅威] ページを使用すると、IPS ポリシーに基づくセキュリティ イベントに関する情報を表示できます。IPSおよびコンテンツセキュリティログを分析することで、異常なイベント、攻撃、ウイルス、ワームなどの有用なセキュリティ管理情報が得られます。
次の例は、[脅威] ページに表示されるログの種類を示しています。
-
AV_VIRUS_DETECETED
-
AV_FILE_NOT_SCANNED_DROPPED_MT、IDP_ATTACK_LOG_EVENT
-
CONTENET_FILETER_BLOCKED
-
ANTISPAM_SPAM_DETECTED_MT
-
RT_AAMW - AAMW_HOST_INFECTED_EVENT_LOG
-
SMS_MALICIOUS_VERDICT
-
ANTI_VIRUS_ACTION_LOG
時間範囲スライダーを使用すると、最も関心のあるアクティビティの領域に集中できます。時間範囲を選択すると、ビューに表示されるすべてのデータが自動的に更新されます。カスタムボタンを使用して、カスタム時間範囲を設定することもできます。
データを表示するには、2 つの方法があります。[ 概要ビュー ] タブまたは [ 詳細ビュー] タブのいずれかを選択できます。
この情報は、IPSおよびコンテンツセキュリティ機能から取得されます。
実行できるタスク
このページから、次のタスクを実行できます。
概要ビュー
面グラフに表示されるデータは、選択した時間範囲に基づいて自動的に更新されます。ウィジェットを使用して、IPS の重大度、上位のソース、上位の宛先、上位のレポート デバイス、上位の IPS 攻撃、上位の送信元国、上位の宛先国などの重要な情報を表示できます。
表 1 に、「詳細ビュー」ページでのウィジェットの使用に関するガイドラインを示します。
畑 |
形容 |
---|---|
IPS の重大度 |
重大度レベル(重大、高、中)に基づいて、イベントの上位 IPS 重大度を表示します。 |
トップソース |
ネットワークトラフィックの上位の送信元 IP アドレスをイベント発生回数で並べ替えて表示します。 |
人気の目的地 |
ネットワーク トラフィックの上位宛先 IP アドレスをイベント発生数で並べ替えて表示します。 |
上位のレポート/攻撃されたデバイス |
IPS イベントによって攻撃された上位のデバイスを、ユーザーがネットワーク上でアクティブになっている回数で並べ替えて表示します。 |
上位のIPS攻撃 |
ネットワークトラフィック内の上位のIPS攻撃を、デバイスが攻撃された時間で並べ替えて表示します。 |
上位のソース国 |
イベントソースの発信元の上位ソースの国を IP アドレスの数で並べ替えて表示します。 |
上位の仕向国 |
イベントソースの発信元である上位の送信先の国を、IP アドレスの数で並べ替えて表示します。 |
トップウイルス |
最大ブロック数のウイルスをカウント順に表示します。 |
ソース別の上位スパム |
送信元 IP アドレスによって検出されたスパムの数を表示します。 |
詳細ビュー
[グループ化] オプションを使用してイベントを並べ替えることができます。たとえば、脅威の重大度に基づいてイベントを並べ替えることができます。このテーブルには、イベントを発生させたルール、イベントの重大度、イベント ID、トラフィック情報、イベントがいつどのように検出されたかなどの情報が含まれます。
表 2 に、[詳細ビュー] ページのフィールドの使用に関するガイドラインを示します。
田畑 |
形容 |
---|---|
時間 |
トラフィック ログが生成された時刻を表示します。 |
生成元 |
ログを生成したユーザーの名前を表示します。 |
イベント名 |
トラフィック ログのイベント名を表示します。 |
攻撃名 |
ログの攻撃名 (トロイの木馬、ワーム、ウイルスなど) を表示します。 |
脅威の重大度 |
イベントの脅威の重大度を表示します。 |
ユーザー名 |
ユーザー名を表示します。 |
URL |
トラフィック ログをトリガーしたアクセスした URL 名を表示します。 |
ネストされたアプリケーション |
レイヤー 7 アプリケーションの名前を表示します。 |
アクション |
イベントに対して実行されたアクション (警告、許可、ブロック) を表示します。 |
送信元 IP |
イベントが発生した送信元 IP アドレス (IPv4 または IPv6) を表示します。 |
宛先 IP |
イベントの宛先 IP アドレス (IPv4 または IPv6) を表示します。 |
宛先ポート |
イベントの宛先ポートを表示します。 |
受信時刻 |
Juniper Security Director Cloudがトラフィックログを受信した時刻を表示します。 |
ポリシー名 |
ログ内のポリシー名を表示します。 |
原産国 |
イベントの発生元の国名を表示します。 |
仕向国 |
イベントが発生した宛先の国名を表示します。 |
送信元ポート |
イベントの送信元ポートを表示します。 |
形容 |
ログの説明を表示します。 |
名前 |
イベントの名前を表示します。 |
カテゴリ |
脅威のイベント カテゴリ(アンチスパム、アンチウィルス、Web フィルタリング、IPS)を表示します。 |
クライアントのホスト名 |
イベントをトリガーしたトラフィックに関連付けられているクライアントのホスト名を表示します。たとえば、特定のコンピューターが感染している場合、そのコンピューターの名前が表示されます。 |
イベント カテゴリ |
トラフィック ログのイベント カテゴリ(ファイアウォールまたは APPTRACK)を表示します。 |
引数 |
トラフィックのタイプ(FTPとHTTP)を表示します。 |
アプリケーション |
イベントをトリガーしたトラフィックに関連付けられているアプリケーションの名前を表示します。 |
ホスト名 |
ログが生成されたデバイスのホスト名。 |
サービス名 |
イベントをトリガーしたトラフィックに使用されるレイヤー 4 サービスの名前(FTP、HTTP、SSH など)を表示します。 |
ソースゾーン |
サイトのソースゾーンを表示します。 |
宛先ゾーン |
サイトの宛先ゾーンを表示します。 |
プロトコル ID |
イベントをトリガーしたトラフィックのプロトコル ID を表示します。 |
役割 |
イベントに関連付けられているロール名を表示します。 |
理由 |
無制限のアクセスなど、ログ生成の理由を表示します。 |
NAT 送信元ポート |
NAT 後のトラフィックの送信元ポートを表示します。 |
NAT 宛先ポート |
NAT 後のトラフィックの宛先ポートを表示します。 |
NAT 送信元ルール名 |
送信元NATルール名を表示します。 |
NAT 宛先ルール名 |
宛先NATルール名を表示します。 |
NAT 送信元 IP |
IP アドレス変換後の送信元 IP アドレスを表示します。 |
NAT 宛先 IP |
IP アドレス変換後の宛先 IP アドレスを表示します。 |
トラフィック セッション ID |
サイトごとにイベントにマップされたセッション ID を表示します。 |
パス名 |
ログのパス名を表示します。 |
論理システム名 |
論理システム名を表示します。 |
ルール名 |
ルール名を表示します。 |
プロファイル名 |
ログをトリガーした Web フィルタリング プロファイルの名前を表示します。 |
マルウェア情報 |
イベントの原因となったマルウェアに関する情報を表示します。 |
送信元 VRF グループ名 |
イベントを生成した送信元 VRF グループ名を表示します。 |
宛先 VRF グループ名 |
イベントを生成した宛先 VRF グループ名を表示します。 |
ファイル名 |
ウイルスのフラグが立てられたファイルの名前を表示します。 |
ファイルカテゴリ |
ウイルスのフラグが立てられたファイルの種類 (PDF、Word 文書、実行可能ファイルなど) を表示します。 |
判定番号 |
ウイルスとして検出されたファイルの設定された判定しきい値番号を表示します。 |
ウイルス情報 |
ウイルスシグネチャのヒットの総数を表示します。 |
ウイルスデータベースのバージョン |
署名データベースのバージョンを表示します。 |