Syslog 악성코드 이벤트 감염 알림 예
<134>Nov 23 21:58:05 tap54.eng.JATP.net JATP:
CEF:0|JATP|Cortex|3.6.0.15|cnc|TROJAN_Vertexbot.CY|5|externalId=353
eventId=13321 lastActivityTime=2016-02-24 02:17:25.638+00
src=31.170.165.131 dst=10.1.1.48 malwareSeverity=0.5
malwareCategory=Unknown cncServers=31.170.165.131
CEF 이메일 멀웨어 이벤트 알림 예:
2016-01-23 17:36:39.841+00 tap0.test.JATP.net
CEF:0|JATP|Cortex|3.6.0.15|email|TROJAN_Zemot.CY|7|externalId=995
eventId=123 lastActivityTime=2016-01-23 17:36:39.841+00
src=50.154.149.189 dst=192.168.1.10
fileHash=d93216633bf6f86bc3076530b6e9ca6443fc75b5 fileName=abc.bin
fileType=Zip archive data, at least v2.0 to extract startTime=2016-01-23 17:36:39.841+00
Syslog 이메일 멀웨어 이벤트 알림 예:
<134> Nov 23 18:50:00 tap0.test.JATP.net JATP:
CEF:0|JATP|Cortex|3.6.0.15|email|TROJAN_Zemot.CY|7|externalId=995
eventId=123 lastActivityTime=2016-01-23 17:36:39.841+00
src=50.154.149.189 dst=192.168.1.10
fileHash=d93216633bf6f86bc3076530b6e9ca6443fc75b5 fileName=abc.bin
fileType=Zip archive data, at least v2.0 to extract startTime=2016-01-23 17:36:39.841+00
CEF CnC 알림 예:
2016-01-23 17:36:39.841+00 tap0.test.JATP.net
CEF:0|JATP|Cortex|3.6.0.15|cnc|TROJAN_Zemot.CY|7|externalId=995
eventId=123 lastActivityTime=2016-01-23 17:36:39.841+00
src=50.154.149.189 dst=192.168.1.10
malwareSeverity=0.5 malwareCategory=Trojan_DataTheft cncServers=50.154.149.189
Syslog CnC 알림 예:
<134> Nov 23 18:50:00 tap0.test.JATP.net JATP:
CEF:0|JATP|Cortex|3.6.0.15|cnc|TROJAN_Zemot.CY|7|externalId=995
eventId=123 lastActivityTime=2016-01-23 17:36:39.841+00
src=50.154.149.189 dst=192.168.1.10 malwareSeverity=0.5
malwareCategory=Trojan_DataTheft cncServers=50.154.149.189
CEF 파일 제출 알림 예:
2016-01-23 17:36:39.841+00 tap0.test.JATP.net
CEF:0|JATP|Cortex|3.6.0.15|submission|TROJAN_Zemot.CY|7|externalId=995
eventId=123 lastActivityTime=2016-01-23 17:36:39.841+00
src=50.154.149.189 dst=192.168.1.10
fileHash=d93216633bf6f86bc3076530b6e9ca6443fc75b5 fileName=abc.bin
fileType=Zip archive data, at least v2.0 to extract submissionTime=2016- 01-23 17:36:39.841+00
Syslog 파일 업로드 알림 예:
<134>Nov 23 21:58:05 tap54.eng.JATP.net JATP:
CEF:0|JATP|Cortex|3.6.0.15|submission|VIRUS_NABUCUR.DC|5|externalId=354
eventId=13322 lastActivityTime=2016-02-24 02:25:05.163039+00src= dst=
fileHash=12b1777e451ef24bcc940bc79cdd7a0ffb181d78 fileName=
fileType=PE32 executable (GUI) Intel 80386, for MS Windows
submissionTime=2016-02-24 02:25:05.163039+00
CEF 익스플로잇 알림 예:
2016-01-23 17:36:39.841+00 tap0.test.JATP.net
CEF:0|JATP|Cortex|3.6.0.15|exploit|Exploit|7|externalId=995 eventId=123
lastActivityTime=2016-01-23 17:36:39.841+00 src=50.154.149.189
dst=192.168.1.10 reqReferer=http://forums.govteen.com/content.php
url=http://64.202.116.151/nzrems2/1
Syslog 익스플로잇 알림 예:
<134>Nov 23 21:58:05 tap54.eng.JATP.net JATP:
CEF:0|JATP|Cortex|3.6.0.15|exploit|Exploit|3|externalId=352
eventId=13319 lastActivityTime=2016-02-24 02:18:21.105811+00
src=64.202.116.124 dst=192.168.50.203 reqReferer=http:// www.christianforums.com/
url=http://64.202.116.124/5butqfk/?2
CEF 데이터 도난 알림 예:
2016-01-23 17:36:39.841+00 tap0.test.JATP.net
CEF:0|JATP|Cortex|3.6.0.15|datatheft|2ND_ORDER_DLP_CUSTOMIZED :
CreditCard_Rule|7|externalId=995 eventId=123 lastActivityTime=2016-01-23
17:36:39.841+00 src=50.154.149.189 dst=192.168.1.10
description=2ND_ORDER_DLP_CUSTOMIZED : CreditCard_Rule port=80
protocol=HTTP startTime=2016-01-23 17:36:39.841+00
Syslog 데이터 도난 알림 예:
<134> Nov 23 18:50:00 tap0.test.JATP.net JATP:
CEF:0|JATP|Cortex|3.6.0.15|datatheft|2ND_ORDER_DLP_CUSTOMIZED :
CreditCard_Rule|7|externalId=995 eventId=123 lastActivityTime=2016-01-23
17:36:39.841+00 src=50.154.149.189 dst=192.168.1.10 description=2ND_ORDER_DLP_CUSTOMIZED : CreditCard_Rule port=80
protocol=HTTP startTime=2016-01-23 17:36:39.841+00
CEF 시스템 상태 알림 예:
2016-01-23 17:36:39.841+00 tap0.test.JATP.net
CEF:0|JATP|Cortex|3.6.0.15|3|traffic-health|5|desc=10.2.20.54
(10.2.20.54) received 0 KB of monitor traffic over last 10 minutes
json={"pretty_age": "10 minutes", "ip": "10.2.20.54", "age": 10,
"appliance": "10.2.20.54", "sample_size": 2, "traffic": "0”}
Syslog 시스템 상태 알림 예:
<134>Nov 24 17:12:55 tap0.eng.JATP.net JATP:
CEF:0|JATP|Cortex|3.6.0.15|3|link-health|5|desc=Link eth1 on 10.2.20.54
(10.2.20.54) is down json={"interface": "eth1", "ip": "10.2.20.54",
"appliance": "10.2.20.54", "app_id": "467dea60-d7da-11dd-83c7-
10bf48d79a6e", "up": false}
CEF 시스템 감사 알림 예:
2016-01-23 17:36:39.841+00 tap0.test.JATP.net
CEF:0|JATP|Cortex|3.6.0.15|2|update-system-config|5|desc=descriptio
json={ "user_id" : "8d7c450e-df6a-0ab6-193d-143bfc6f7cac", "user_name" :
"test.JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 1}
2016-01-23 17:36:39.841+00 tap0.test.JATP.net
CEF:0|JATP|Cortex|3.6.0.15|2|update-smtp|5|desc=description json={
"user_id" : "8d7c450e-df6a-0ab6-193d-143bfc6f7cac", "user_name" :
"test.JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 1}
2016-01-23 17:36:39.841+00 tap0.test.JATP.net
CEF:0|JATP|Cortex|3.6.0.15|2|reboot|5|desc=description json={ "user_id"
: "8d7c450e-df6a-0ab6-193d-143bfc6f7cac", "user_name" : "test.JATP",
"is_admin" : 0, "has_debug": 1 , "reset_password" : 1}
Syslog 시스템 감사 알림 예:
<134>Nov 24 14:32:59 tap0.eng.JATP.net JATP:
CEF:0|JATP|Cortex|3.6.0.15|2|add-user|5|username=admin desc=Delete user
'jane' with id 'f263f0b1-353e-046c-1577-6adc1c96cb62' json={ "user_id" :
"f263f0b1-353e-046c-1577-6adc1c96cb62", "user_name" : "jane"}
<134>Nov 24 14:31:20 tap0.eng.JATP.net JATP:
CEF:0|JATP|Cortex|3.6.0.15|2|update-user|5|username=admin desc=Updated
user id '27ee212e-855d-08d4-953f-6b9cea46a679': name 'john', is admin:
yes, has debug: yes, reset password: no json={ "user_id" : "27ee212e-
855d-08d4-953f-6b9cea46a679", "user_name" : "john", "is_admin" : 1,
"has_debug": 1 , "reset_password" : 0}
CEF 경고 eventID 또는 incidentID를 사용하여 주니퍼 ATP 어플라이언스 웹 UI에 세부 정보 표시
incidentID 또는 eventID가 지정된 경우 다음 URL을 사용하여 주니퍼 ATP 어플라이언스 웹 UI에 관련 세부 정보를 표시할 수 있습니다.
"JATP_HOSTNAME_HERE"를 주니퍼 ATP 어플라이언스 호스트 이름으로 바꾸고, "0000000"을 event_id 또는 incident_id로 바꿉니다.
-
https://JATP_HOSTNAME_HERE/admin/index.html?incident_id=0000000 (영문)
-
https://JATP_HOSTNAME_HERE/admin/index.html?event_id=0000000 (영문)
현재 활성화된 로그인 세션이 없는 경우 로그인/비밀번호를 입력하라는 메시지가 표시됩니다.
CEF 확장 필드 키=값 쌍 정의
주니퍼 ATP 어플라이언스는 CEF 확장 필드 key=value 쌍에서 다음 매개 변수를 사용합니다. extension의 키에는 "=" 기호가 있습니다. 예를 들어:. cncServers=a.b.c.d eventId=123입니다. 확장 앞의 필드는 파이프("|")로 둘러싸여 있습니다. 예: |login|, |cnc|, |JATP|입니다.
다음 표에서는 CEF 및/또는 Syslog 메시지의 각 확장 필드 키를 정의합니다.
확장 필드 키 |
성명 및 설명 |
이벤트 유형 |
데이터 유형 및 길이 |
CEF 또는 Syslog 키 값(예) |
|---|---|---|---|---|
설명= 시스템 감사 전용 |
묘사 desc는 시스템 감사 이벤트에 대한 설명입니다 |
감사 |
문자열 1023 문자 |
description=업데이트 사용자 |
json= |
json 출력은 참조되는 시스템 감사 이벤트의 종류에 따라 다른 데이터를 보냅니다. 다음 샘플 json=은 update-user에 대한 것입니다. json = { "user_id" : "2721f188-682e-03d0- 6dfa-5d5d688047b6", "사용자 이름": "테스트. JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 0} |
감사 |
문자열 1023 문자 |
json= 이 json= 필드는 로그인용입니다. <134> 11월 23일 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0입니다. 15|2|로그인|5|사용자 이름=a dmin desc=설명 json={ "user_id" : "8d7c450e-df6a-0ab6- 193d-143bfc6f7cac", "user_name": "테스트. JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 1} |
로그인 |
로그인 |
감사 |
문자열 |
로그인 <134> 11월 23일 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0입니다. 15|2|로그인|5|사용자 이름=a dmin desc=설명 json={ "user_id" : "8d7c450e-df6a-0ab6- 193d-143bfc6f7cac", "user_name": "테스트. JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 1} |
로그인 실패 |
로그인 실패 |
감사 |
문자열 |
로그인 실패 <134> 11월 23일 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0입니다. 15|2|로그인 실패| 5|사용자 이름=관리자 설명=설명 json={ "user_id" : "8d7c450edf6a- 0ab6-193d- 143bfc6f7cac", "user_name" : "테스트. JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 1} |
로그아웃(logout) |
잠금 |
감사 |
문자열 |
로그아웃(logout) <134> 11월 23일 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0입니다. 15|2|로그아웃|5|사용자 이름= admin desc=설명 json={ "user_id" : "8d7c450e-df6a-0ab6- 193d-143bfc6f7cac", "user_name": "테스트. JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 1} |
사용자 추가 |
사용자 추가 |
감사 |
문자열 |
사용자 추가 <134> 11월 23일 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0입니다. 15|2|사용자 추가| 5|사용자 이름=관리자 설명=설명 json={ "user_id" : "8d7c450edf6a- 0ab6-193d- 143bfc6f7cac", "user_name" : "테스트. JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 1} |
업데이트 사용자 |
사용자 업데이트 |
감사 |
문자열 |
업데이트 사용자 <134> 11월 23일 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0입니다. 15|2|업데이트사용자| 5|사용자 이름=관리자 설명=설명 json={ "user_id" : "8d7c450edf6a- 0ab6-193d- 143bfc6f7cac", "user_name" : "테스트. JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 1} |
업데이트 시스템 구성 |
시스템 구성 업데이트 |
감사 |
문자열 |
업데이트 시스템 구성 <134>11월 24일 14:35:48 tap0.eng.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0입니다. 15|2|업데이트 시스템 구성| 5|username=adm in desc=업데이트 설정 업데이트: 소프트웨어 자동 업데이트: 'yes', 호스트 이름 설정: 'tap0', server_fqdn 설정 : 'tap0.eng.JATP.net', ivp_format 설정 : 'application/ zip' 원격 쉘 활성화: 예 json={ "do_auto_update" : 1, "hostname" : "tap0", "server_fqdn" : "tap0.eng.JATP.net", "ivp_format" : "애플리케이션/zip", "remote_shell_enabled : 1 |
재부팅 |
재부팅 |
감사 |
문자열 |
재부팅 <134> 11월 23일 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0입니다. 15|2|재부팅|5|사용자 이름 =admin desc=설명 json={ "user_id" : "8d7c450edf6a- 0ab6-193d- 143bfc6f7cac", "user_name" : "테스트. JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 1} |
어플라이언스 연결 상태 |
기기 연결 상태 |
감사 |
문자열 |
어플라이언스 연결 상태 <134> 11월 23일 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0입니다. 15|2|어플라이언스-connecthealth| 5|desc=description의 사용자 이름=adm json={ "user_id" : "8d7c450e-df6a-0ab6- 193d-143bfc6f7cac", "user_name": "테스트. JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 1} |
링크 상태 |
링크 상태 |
링크 상태 <134> 11월 23일 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0입니다. 15|2|링크헬스| 5|desc=description의 사용자 이름=adm json={ "user_id" : "8d7c450e-df6a-0ab6- 193d-143bfc6f7cac", "user_name": "테스트. JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 1} |
||
트래픽 상태 |
트래픽 상태 |
트래픽 상태 <134> 11월 23일 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0입니다. 15|2|트래픽 헬스| 5|desc=description의 사용자 이름=adm json={ "user_id" : "8d7c450e-df6a-0ab6- 193d-143bfc6f7cac", "user_name": "테스트. JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 1} |
||
지우기 DB |
DB 지우기 |
감사 |
문자열 |
지우기 DB <134>11월 24일 16:32:03 tap0.eng.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0입니다. 15|2|클리어DB| 5|username=admin desc=이벤트 데이터베이스 지우기 json={ "상태" : 0} |
재시작 서비스 |
서비스 다시 시작 |
감사 |
문자열 |
재시작 서비스 <134>11월 24일 14:37:07 tap54.eng.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0입니다. 15|2|재시작서비스| 5|username=ad min desc=서비스 다시 시작 json={ "상태" : 0} |
보고서 추가 |
보고서 추가 |
감사 |
문자열 |
보고서 추가 <134>11월 24일 14:37:32 tap0.eng.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0입니다. 15|2|보고서 추가| 5|username=adm in desc=보고서 추가 (id '300BF9F1-973B-4523- 8BEB-B82B70B78925') json={ "report_id" : "300BF9F1-973B-4523- 8BEB-B82B70B78925"} |
삭제 보고서 |
보고서 삭제 |
감사 |
문자열 |
삭제 보고서 <134>11월 24일 14:37:41 tap0.eng.JATP.netJATP JATP: CEF:0|JATP|Cortex|3.6.0입니다. 15|2|보고서 삭제| 5|username=adm in desc=보고서 삭제(ID 'CF411F54-EB45-0C41- 654A-AFA1B9FF9DEB') json={ "report_id" : "CF411F54-EB45-0C41- 654A-AFA1B9FF9DEB"} |
추가 알림 |
Add Notification(알림 추가) |
감사 |
문자열 |
추가 알림 <134>11월 24일 14:35:04 tap0.eng.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0입니다. 15|2|추가알림| 5|사용자 이름 =admin desc=알림 추가(ID 'AD5D3D6C-6A51-4BB5- 958A-A1B392D3DFDA') json={ "report_id" : "AD5D3D6C-6A51- 4BB5-958AA1B392D3DFDA"} |
삭제 알림 |
알림 삭제 |
감사 |
문자열 |
삭제 알림 <134>11월 24일 14:38:13 tap0.eng.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0입니다. 15|2|삭제알림| 5|username =admin desc=삭제 알림 (id '26EC53CA-B1A7-4DBAA111- 013CD2548FFD') json={ "report_id" : "26EC53CA-B1A7-4DBAA111- 013CD2548FFD"} |
add-siem |
SIEM 추가 |
감사 |
문자열 |
add-siem <134>11월 24일 14:29:08 tap0.eng.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0입니다. 15|2|애드시엠| 5|username=admin desc='splunktest'에 SIEM 업로드를 추가합니다. 엔지니어. JATP.net' (아이디 '768687F7-4A81-42AF- 897A-6814A48D4155') json={ "report_id" : "768687F7-4A81-42AF- 897A-6814A48D4155", "host_name": "splunktest. eng.JATP.net"} |
delete-siem |
SIEM 삭제 |
감사 |
문자열 |
delete-siem <134>11월 24일 14:38:57 tap0.eng.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0입니다. 15|2|deletesiem| 5|username=admin desc='10.9.8.7'에 SIEM 업로드 삭제 (id '8165C17F-F375-4226- 8E7A-BC8E690E3370') json={ "report_id" : "8165C17F-F375-4226- 8E7A-BC8E690E3370", "host_name": "10.9.8.7"} |
이메일 수집기 추가 |
이메일 컬렉터 추가 |
감사 |
문자열 |
이메일 수집기 추가 <134>11월 24일 14:39:35 tap0.eng.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0입니다. 15|2|이메일 수집기 추가| 5|username=a dmin desc='10.2.10.3'에서 이메일 수집기 추가 (ID '5FB8FFDC-7024- 467A-8AC8- 6CD68CA8781D') json={ "report_id" : "5FB8FFDC- 7024-467A-8AC8- 6CD68CA8781D", "host_name": "10.2.10.3"} |
이메일 수집기 삭제 |
이메일 컬렉터 삭제 |
감사 |
문자열 |
이메일 수집기 삭제 <134>11월 24일 14:39:09 tap0.eng.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0입니다. 15|2|이메일 수집기 삭제| 5|username=a dmin desc='10.2.10.7'에서 이메일 수집기 삭제 (ID '6C36F94A-3CF2- 45D8-83B9- CDF50BE0490B') json={ "report_id" : "6C36F94A-3CF2- 45D8-83B9- CDF50BE0490B", "host_name": "10.2.10.7"} |
dst= |
destinationIPAddress dst는 탐지 엔진 내에서 외부 호스트와의 통신이 관찰될 때 대상의 IP 주소를 나타냅니다. |
이벤트 |
IPv4 및 IPv6 주소 |
dst=128.12.38.6입니다
메모:
참고: 사용자가 맬웨어를 다운로드한 대상 IP 주소일 수도 있습니다. 이 확장은 감염에만 국한되지 않습니다. |
lastActivityTime= |
이 이벤트와 연결된 마지막 활동의 타임스탬프입니다. |
이벤트 |
문자열 1023 문자 |
lastActivityTime=2016- 12-26 18:06:52.333023+00 |
fileHash= |
fileHash는 주니퍼 ATP 어플라이언스 탐지 엔진의 멀웨어 개체 체크섬을 나타냅니다 |
이벤트 |
255 문자 |
파일 해시 = 3174990d783f4 a1bd5e99db60176b920 |
파일 이름= |
fileName은 주니퍼 ATP 어플라이언스 탐지 엔진이 분석한 개체 파일의 이름을 나타냅니다 |
이벤트 |
255 문자 |
fileName=트로이 목마.일반 |
파일 유형= |
fileType은 분석된 개체 유형을 나타냅니다. |
이벤트 |
255 문자 |
파일 형식=pdf |
시작 시간= |
startTime은 주니퍼 ATP 어플라이언스 탐지 시스템에 최초 멀웨어 이벤트가 발생한 날짜와 시간을 나타냅니다. |
이벤트 |
문자열 1023 문자 |
시작 시간=2016-08-11 18:22:19 |
malwareSeverity= |
0-10 범위의 심각도 위험 |
이벤트 |
정수 |
맬웨어 심각도=0.75 |
맬웨어 범주= |
주니퍼 ATP 어플라이언스 멀웨어 범주 판별 |
이벤트 |
문자열 1023 문자 |
맬웨어 범주= |
cnc서버= |
이 이벤트와 연관된 CnC 서버의 IP 주소입니다 |
이벤트 |
IPv4 및 IPv6 주소 |
cnc서버=31.170.165.131 |
submissionTime= |
CM 웹 UI의 사용자 파일 제출 옵션의 날짜 및 시간 |
이벤트 |
데이터 |
제출 시간=2016- 12-26 17:54:46.04875+00 |
src= |
이 맬웨어 이벤트와 연결된 원본 주소입니다. |
이벤트 |
IPv4 및 IPv6 주소 |
원본=64.202.116.124 |
dst= |
이 맬웨어 이벤트와 연결된 원본 주소입니다. |
이벤트 |
IPv4 및 IPv6 주소 |
dst=10.1.1.1입니다 |
reqReferer= |
맬웨어 악용을 트리거했거나 연결된 HTTP 주소의 URL입니다 |
이벤트 |
URL (영문) |
reqReferer=http:// www.christianforums.com/ |
url= |
익스플로잇 멀웨어 이벤트와 연결된 URL입니다. |
이벤트 |
URL (영문) |
url=http:// 64.202.116.124/5butqfk/ ?2 |
외부 Id= |
주니퍼 ATP 어플라이언스 인시던트 번호입니다. 본보기: 외부 Id=1003 |
외부 알 ID |
주니퍼 ATP 어플라이언스 인시던트 번호입니다. |
본보기: 외부 Id=1003 |
EventId= |
주니퍼 ATP 어플라이언스 이벤트 ID 번호입니다. 예: eventId=13405 |
이벤트 ID |
주니퍼 ATP 어플라이언스 이벤트 ID 번호입니다. |
예: eventId=13405 |
사용자 이름= |
관리자 또는 사용자의 사용자 이름 사용자 이름은 시스템 감사 Syslog에 포함되어 있습니다. |
이벤트 |
문자열 |
본보기: 사용자 이름 = "s_roberts" |
포트= |
이벤트와 연관된 포트 번호입니다 |
이벤트 |
정수 |
포트=22 |
프로토콜= |
이벤트와 연결된 프로토콜입니다 |
이벤트 |
정수 |
프로토콜=HTTP |
어플라이언스 연결 상태 |
웹 수집기와 보조 코어 간의 연결 상태입니다. |
건강 |
문자열 |
<134> 11월 23일 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0입니다. 15|2|어플라이언스-connecthealth| 5|desc=description의 사용자 이름=adm json={ "user_id" : "8d7c450e-df6a-0ab6- 193d-143bfc6f7cac", "user_name": "테스트. JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 1} |
트래픽 상태 |
트래픽 상태 |
건강 |
문자열 |
트래픽 상태 <134> 11월 23일 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0입니다. 15|2|트래픽 헬스| 5|desc=설명 json={ "user_id" : "8d7c450e-df6a-0ab6- 193d-143bfc6f7cac", "user_name": "테스트. JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 1} |
링크 상태 |
링크 상태 |
건강 |
문자열 |
링크 상태 <134> 11월 23일 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0입니다. 15|2|링크헬스| 5|desc=설명 json={ "user_id" : "8d7c450e-df6a-0ab6- 193d-143bfc6f7cac", "user_name": "테스트. JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 1} |
서비스 상태 |
서비스 상태 |
건강 |
문자열 |
서비스 상태 <134> 11월 23일 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0입니다. 15|2|서비스건강| 5|desc=설명 json={ "user_id" : "8d7c450e-df6a-0ab6- 193d-143bfc6f7cac", "user_name": "테스트. JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 1} |
src_hostname |
위협 소스의 호스트 이름입니다. Active Directory에서 정보를 가져옵니다(위협 원본의 호스트 세부 정보를 Active Directory에서 가져오는 SMB 내부망 검색에 적용 가능). |
이벤트 |
문자열 |
12월 2일 17:17:25 IP Dec 02 17:08:08 호스트 이름 CEF:0|JATP|Cortex|3.6.0입니다. 1444|cnc|TROJAN_DUSV 내선|10|externalId=1489 eventId=14046 lastActivityTime=2016- 05-03 00:08:08.349+00 src=31.170.165.131 dst=172.20.1.201 src_hostname= dst_hostname=emailr-host 사용 src_username= dst_username=emailr 맬웨어 사용 심각도=0.75 malwareCategory=Troja n_Generic cncServers=31.170.165.131 |
dst_hostname |
엔드포인트 호스트 이름(위협 대상); Active Directory에서 정보를 가져옵니다. |
이벤트 |
문자열 |
12월 6일 16:52:22 IP 12월 06일 16:51:38 호스트 이름 CEF:0|JATP|Cortex|3.6.0입니다. 1444|이메일|피싱|8|e xternalId=1504 eventId=14067 lastActivityTime=2016- 12-06 23:51:38+00 src= dst= src_hostname= dst_hostname= src_username= dst_username=src_email_id=src@abc.com dst_email_id={test@abc.com} startTime=2016- 12-06 23:51:38+00 url=http:// greatfilesarey.asia/QA/ files_to_pcaps/ 74280968a4917da52b5 555351eeda969.bin fileHash=bce00351cfc55 9afec5beb90ea387b037 88e4af5 fileType=PE32 실행 파일(GUI) Intel 80386, MS Windows용 |
src_username |
위협 소스 호스트에 로그인한 사용자의 사용자 이름입니다. Active Directory에서 정보를 가져옵니다(Active Directory에서 위협 원본의 호스트 세부 정보를 가져올 수 있으므로 측면 확산에 적용 가능). |
이벤트 |
문자열 |
12월 3일 16:42:24 IP Dec 03 16:42:54 호스트 이름 CEF:0|JATP|Cortex|3.6.0입니다. 1444|이메일|피싱|8|e xternalId=1499 eventId=14058 lastActivityTime=2016- 05-03 23:42:54+00 src= dst= src_hostname= dst_hostname= src_username= dst_username=src_email_id=src@abc.com dst_email_id={test1@ab c.com,test2@abc.com,test3@abc.com,} url=http:/ /greatfilesarey.asia/QA/ fileType=PE32 실행 파일(GUI) Intel 80386, MS Windows용 |
dst_username: 위협 대상 호스트에 로그인한 사용자의 사용자 이름입니다. Active Directory에서 정보를 가져옵니다. |
12월 3일 16:42:24 IP Dec 03 16:42:54 호스트 이름 CEF:0|JATP|Cortex|3.6.0입니다. 1444|이메일|피싱|8|e xternalId=1499 eventId=14058 lastActivityTime=2016- 05-03 23:42:54+00 src= dst= src_hostname= dst_hostname= src_username= dst_username=src_email_id=src@abc.com dst_email_id={test1@ab c.com,test2@abc.com,test3@abc.com,} url=http:/ /greatfilesarey.asia/QA/ fileType=PE32 실행 파일(GUI) Intel 80386, MS Windows용 |
|||
src_email_id |
이메일 발신자의 이메일 ID |
이벤트 |
문자열 |
12월 3일 16:42:24 IP Dec 03 16:42:54 호스트 이름 CEF:0|JATP|Cortex|3.6.0입니다. 1444|이메일|Phishing|8|e xternalId=1499 eventId=14058 lastActivityTime=2016- 05-03 23:42:54+00 src_email_id=src@abc.com dst_email_id={test1@ab c.com,test2@ab c.com,test3@ab c.com,} startTime=2016-05-03 23:42:54+00 url=http:// greatfilesarey.asia/QA/ files_to_pcaps/ 74280968a4917da52b5 555351eeda969.bin fileType=PE32 실행 파일(GUI) Intel 80386, MS Windows용 |
dst_email_id |
수신자의 이메일 ID |
이벤트 |
문자열 |
12월 3일 16:42:24 IP Dec 03 16:42:54 호스트 이름 CEF:0|JATP|Cortex|3.6.0입니다. 1444|이메일|Phishing|8|e xternalId=1499 eventId=14058 lastActivityTime=2016- 05-03 23:42:54+00 src_email_id=src@abc.com dst_email_id={test1@ab c.com,test2@ab c.com,test3@ab c.com,} startTime=2016-05-03 23:42:54+00 url=http:// greatfilesarey.asia/QA/ files_to_pcaps/ 74280968a4917da52b5 555351eeda969.bin fileType=PE32 실행 파일(GUI) Intel 80386, MS Windows용 |
URL |
이메일로 전송된 잘못된 URL(CEF/Syslog에서 주니퍼 ATP 어플라이언스가 보내는 잘못된 URL의 최대 수는 문자 공백으로 구분된 5개입니다.) |
이벤트 |
문자열 |
12월 3일 16:42:24 IP Dec 03 16:42:54 호스트 이름 CEF:0|JATP|Cortex|3.6.0입니다. 1444|이메일|Phishing|8|e xternalId=1499 eventId=14058 lastActivityTime=2016- 05-03 23:42:54+00 src_email_id=src@abc.com dst_email_id={test1@ab c.com,test2@ab c.com,test3@ab c.com,} startTime=2016-05-03 23:42:54+00 url=http:// greatfilesarey.asia/QA/ files_to_pcaps/ 74280968a4917da52b5 555351eeda969.bin fileType=PE32 실행 파일(GUI) Intel 80386, MS Windows용 |