Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo de notificación de infección de evento de malware de Syslog

Ejemplo de notificación de evento de malware por correo electrónico del CEF:

Ejemplo de notificación de evento de malware por correo electrónico de Syslog:

Ejemplo de notificación CNC del CEF:

Ejemplo de notificación de Syslog CnC:

Ejemplo de notificación de envío de archivo CEF:

Ejemplo de notificación de carga de archivo syslog:

Ejemplo de notificación de explotación de CEF:

Ejemplo de notificación de explotación de Syslog:

Ejemplo de notificación de robo de datos de CEF:

Ejemplo de notificación de robo de datos de Syslog:

Ejemplo de notificación de estado del sistema CEF:

Ejemplo de notificación de estado del sistema Syslog:

Ejemplos de notificaciones de auditoría del sistema CEF:

Ejemplos de notificaciones de auditoría del sistema Syslog:

Uso del ID de evento de alerta CEF o id de incidente para mostrar detalles en la interfaz de usuario web del dispositivo ATP de Juniper

Dado un ID de incidente o un ID de evento, puede usar las siguientes URL para mostrar detalles relativos en la interfaz de usuario web del dispositivo ATP de Juniper.

Reemplace "JATP_HOSTNAME_HERE" con el nombre de host de su dispositivo ATP Juniper y reemplace "0000000" con el event_id o el incident_id.

  • https://JATP_HOSTNAME_HERE/admin/index.html?incident_id=0000000

  • https://JATP_HOSTNAME_HERE/admin/index.html?event_id=0000000

Nota:

El sistema solicitará el inicio de sesión o contraseña si no hay ninguna sesión de inicio de sesión activa actualmente.

Definiciones de campo de extensión CEF= key=value pair

Juniper ATP Appliance utiliza los siguientes parámetros en sus pares de campo de extensión CEF key=value. Las claves en extensión tienen el signo "="; por ejemplo:. cncServers=a.b.c.d eventId=123. Los campos anteriores a las extensiones están rodeados de tuberías ("|"); por ejemplo: |login|, |cnc| | JATP|.

La siguiente tabla define cada clave de campo de extensión en los mensajes CEF o Syslog.

Tabla 1: Claves de campo de extensión en mensajes CEF o Syslog

Clave de campo de extensión

Nombre y descripción completo

Tipo de evento

Tipo de datos y longitud

Valor de clave CEF o Syslog (ejemplo)

descripción=

Solo para auditoría de sistema

Descripción

desc es la descripción del evento de auditoría del sistema

Auditoría

Cadena

1023

Caracteres

description=update-user

json=

la salida json envía datos diferentes según el tipo de evento de auditoría del sistema al que se hace referencia.

El siguiente ejemplo json= es para update-user:

json = { "user_id": "2721f188-682e-03d0- 6dfa-5d5d688047b6", "username" : "test. JATP", "is_admin" : 0, "has_debug": 1, "reset_password" : 0}

Auditoría

Cadena

1023

Caracteres

json=

Este campo json= es para inicio de sesión:

<134> 23 de noviembre 18:50:00 tap0.test.JATP.net JATP: CEF:0| JATP| Cortex|3.6.0. 15|2|login|5|username=a dmin desc=description

json={ "user_id" : "8d7c450e-df6a-0ab6- 193d-143bfc6f7cac", "user_name" : "prueba. JATP", "is_admin" : 0, "has_debug": 1, "reset_password" : 1}

Iniciar sesión

Iniciar sesión

Auditoría

Cadena

Iniciar sesión

<134> 23 de noviembre 18:50:00 tap0.test.JATP.net JATP: CEF:0| JATP| Cortex|3.6.0. 15|2|login|5|username=a dmin desc=description

json={ "user_id" : "8d7c450e-df6a-0ab6- 193d-143bfc6f7cac", "user_name" : "prueba. JATP", "is_admin" : 0, "has_debug": 1, "reset_password" : 1}

inicio de sesión y error

Error de inicio de sesión

Auditoría

Cadena

inicio de sesión y error

<134> 23 de noviembre 18:50:00 tap0.test.JATP.net JATP: CEF:0| JATP| Cortex|3.6.0. 15|2|loginfail| 5|username=admin desc=description

json={ "user_id" : "8d7c450edf6a- 0ab6-193d- 143bfc6f7cac", "user_name" : "prueba. JATP", "is_admin" : 0, "has_debug": 1, "reset_password" : 1}

Cerrar sesión

Bloqueo

Auditoría

Cadena

Cerrar sesión

<134> 23 de noviembre 18:50:00 tap0.test.JATP.net JATP: CEF:0| JATP| Cortex|3.6.0. 15|2|logout|5|username= admin desc=description

json={ "user_id" : "8d7c450e-df6a-0ab6- 193d-143bfc6f7cac", "user_name" : "prueba. JATP", "is_admin" : 0, "has_debug": 1, "reset_password" : 1}

add-user

Agregar usuario

Auditoría

Cadena

add-user

<134> 23 de noviembre 18:50:00 tap0.test.JATP.net JATP: CEF:0| JATP| Cortex|3.6.0. 15|2|usuario| 5|username=admin desc=description

json={ "user_id" : "8d7c450edf6a- 0ab6-193d- 143bfc6f7cac", "user_name" : "prueba. JATP", "is_admin" : 0, "has_debug": 1, "reset_password" : 1}

update-user

Actualizar usuario

Auditoría

Cadena

update-user

<134> 23 de noviembre 18:50:00 tap0.test.JATP.net JATP: CEF:0| JATP| Cortex|3.6.0. 15|2|usuario de actualización| 5|username=admin desc=description

json={ "user_id" : "8d7c450edf6a- 0ab6-193d- 143bfc6f7cac", "user_name" : "prueba. JATP", "is_admin" : 0, "has_debug": 1, "reset_password" : 1}

update-system-config

Actualización de la configuración del sistema

Auditoría

Cadena

update-system-config

<134>Nov 24 14:35:48 tap0.eng.JATP.net JATP:CEF:0| JATP| Cortex|3.6.0. 15|2|actualización del sistema| 5|username=adm in desc=Update update settings: software auto update: 'sí', Set hostname: 'tap0', Set server_fqdn: 'tap0.eng.JATP.net', Set ivp_format: 'application/zip' shell remoto habilitado: sí

json={ "do_auto_update" : 1, "hostname" : "tap0", "server_fqdn" : "tap0.eng.JATP.net", "ivp_format" : "application/zip", "remote_shell_enabled: 1

Reiniciar

Reiniciar

Auditoría

Cadena

Reiniciar

<134> 23 de noviembre 18:50:00 tap0.test.JATP.net JATP: CEF:0| JATP| Cortex|3.6.0. 15|2|reboot|5|username =admin desc=description

json={ "user_id" : "8d7c450edf6a- 0ab6-193d- 143bfc6f7cac", "user_name" : "prueba. JATP", "is_admin" : 0, "has_debug": 1, "reset_password" : 1}

appliance-connecthealth

estado de la conexión del dispositivo

Auditoría

Cadena

appliance-connecthealth

<134> 23 de noviembre 18:50:00 tap0.test.JATP.net JATP: CEF:0| JATP| Cortex|3.6.0. Salud de 15|2|| 5|username=adm en desc=description

json={ "user_id" : "8d7c450e-df6a-0ab6- 193d-143bfc6f7cac", "user_name" : "prueba. JATP", "is_admin" : 0, "has_debug": 1, "reset_password" : 1}

salud del vínculo

Estado del vínculo

   

salud del vínculo

<134> 23 de noviembre 18:50:00 tap0.test.JATP.net JATP: CEF:0| JATP| Cortex|3.6.0. Salud de 15|2|link| 5|username=adm en desc=description

json={ "user_id" : "8d7c450e-df6a-0ab6- 193d-143bfc6f7cac", "user_name" : "prueba. JATP", "is_admin" : 0, "has_debug": 1, "reset_password" : 1}

salud del tráfico

Estado del tráfico

   

salud del tráfico

<134> 23 de noviembre 18:50:00 tap0.test.JATP.net JATP: CEF:0| JATP| Cortex|3.6.0. Salud 15|2|| 5|username=adm en desc=description

json={ "user_id" : "8d7c450e-df6a-0ab6- 193d-143bfc6f7cac", "user_name" : "prueba. JATP", "is_admin" : 0, "has_debug": 1, "reset_password" : 1}

clear-db

Borrar base de datos

Auditoría

Cadena

clear-db

<134>Nov 24 16:32:03 tap0.eng.JATP.net JATP:CEF:0| JATP| Cortex|3.6.0. 15|2|cleardb| 5|username=admin desc=Borrar base de eventos

json={ "status" : 0}

servicios de reinicio

Servicios de reinicio

Auditoría

Cadena

servicios de reinicio

<134>Nov 24 14:37:07 tap54.eng.JATP.net JATP:CEF:0| JATP| Cortex|3.6.0. Servicios de inicio de 15|2|| 5|username=ad min desc=Reiniciar servicios

json={ "status" : 0}

agregar informe

Agregar informe

Auditoría

Cadena

agregar informe

<134>Nov 24 14:37:32 tap0.eng.JATP.net JATP: CEF:0| JATP| Cortex|3.6.0. Informe de 15|2|| 5|username=adm en desc=Add informe (id '300BF9F1-973B-4523-8BEB-B82B70B78925')

json={ "report_id": "300BF9F1-973B-4523- 8BEB-B82B70B78925"}

eliminar informe

Eliminar informe

Auditoría

Cadena

eliminar informe

<134>Nov 24 14:37:41 tap0.eng.JATP.netJATP JATP: CEF:0| JATP| Cortex|3.6.0. Informe de 15|2|| 5|username=adm en el informe de desc=Delete (id 'CF411F54-EB45-0C41- 654A-AFA1B9FF9DEB')

json={ "report_id" : "CF411F54-EB45-0C41- 654A-AFA1B9FF9DEB"}

notificación de complemento

Agregar notificación

Auditoría

Cadena

notificación de complemento

<134>Nov 24 14:35:04 tap0.eng.JATP.net JATP: CEF:0| JATP| Cortex|3.6.0. 15|2|anotificación| 5|usuario =admin desc=Agregar notificación (id 'AD5D3D6C-6A51-4BB5- 958A-A1B392D3DFDA')

json={ "report_id": "AD5D3D6C-6A51- 4BB5-958AA1B392D3DFDA"}

eliminar-notificación

Eliminar notificación

Auditoría

Cadena

eliminar-notificación

<134>Nov 24 14:38:13 tap0.eng.JATP.net JATP: CEF:0| JATP| Cortex|3.6.0. 15|2| anotación de entrega| 5|username =admin desc=Eliminar notificación (id '26EC53CA-B1A7-4DBAA111- 013CD2548FFD')

json={ "report_id" : "26EC53CA-B1A7-4DBAA111- 013CD2548FFD"}

complemento

Agregar SIEM

Auditoría

Cadena

complemento

<134>Nov 24 14:29:08 tap0.eng.JATP.net JATP:CEF:0| JATP| Cortex|3.6.0. 15|2|addsiem| 5|username=admin desc=Agregar carga de SIEM a 'splunktest. Eng. JATP.net' (id '768687F7-4A81-42AF- 897A-6814A48D4155')

json={ "report_id": "768687F7-4A81-42AF- 897A-6814A48D4155", "host_name": "splunktest. eng.JATP.net"}

delete-siem

Eliminar SIEM

Auditoría

Cadena

delete-siem

<134>Nov 24 14:38:57 tap0.eng.JATP.net JATP:CEF:0| JATP| Cortex|3.6.0. 15|2|deletesiem| 5|username=admin desc=Eliminar la carga de SIEM a '10.9.8.7' (id '8165C17F-F375-4226- 8E7A-BC8E690E3370')

json={ "report_id" : "8165C17F-F375-4226- 8E7A-BC8E690E3370", "host_name": "10.9.8.7"}

add-email-collector

Agregar recolector de correo electrónico

Auditoría

Cadena

add-email-collector

<134>Nov 24 14:39:35 tap0.eng.JATP.net JATP: CEF:0| JATP| Cortex|3.6.0. 15|2|add-email| 5|username=a dmin desc=Agregar recopilador de correo electrónico desde '10.2.10.3' (id '5FB8FFDC-7024- 467A-8AC8- 6CD68CA8781D')

json={ "report_id" : "5FB8FFDC- 7024-467A-8AC8- 6CD68CA8781D", "host_name": "10.2.10.3"}

delete-email-collector

Eliminar recolector de correo electrónico

Auditoría

Cadena

delete-email-collector

<134>Nov 24 14:39:09 tap0.eng.JATP.net JATP:CEF:0| JATP| Cortex|3.6.0. 15|2|delete-email| 5|username=a dmin desc=Eliminar recopilador de correo electrónico de '10.2.10.7' (id '6C36F94A-3CF2- 45D8-83B9- CDF50BE0490B')

json={ "report_id": "6C36F94A-3CF2- 45D8-83B9- CDF50BE0490B", "host_name": "10.2.10.7"}

dst=

destinoIPAdrección

dst representa la dirección IP del destino cuando se observa cualquier comunicación con un host externo dentro del motor de detección.

Eventos

Direcciones IPv4 e IPv6

dst=128.12.38.6

Nota:

Nota: Esta también podría ser la dirección IP de destino desde la cual el usuario descargó el malware; esta extensión no es específica solo para la infección.

lastActivityTime=

Marca de hora de la última actividad asociada a este evento.

Eventos

Cadena

1023

Caracteres

lastActivityTime=2016-12-26 18:06:52.333023+00

archivoHash=

fileHash representa la suma de comprobación del objeto de malware de un motor de detección de dispositivo ATP juniper

Eventos

255

Caracteres

filehash=3174990d783f4 a1bd5e99db60176b920

nombrede archivo=

fileName representa el nombre del archivo de objeto analizado por el motor de detección del dispositivo ATP de Juniper

Eventos

255

Caracteres

fileName=Trojan.Generic

fileType=

fileType representa el tipo de objeto analizado.

Eventos

255

Caracteres

fileType=pdf

startTime=

startTime representa la fecha y hora del evento inicial de malware en el sistema de detección del dispositivo ATP de Juniper.

Evento

Cadena

1023

Caracteres

startTime=2016-08-11 18:22:19

malwareSeverity=

Riesgo de gravedad en el rango 0-10

Evento

Entero

malwareSeverity=0,75

malwareCategory=

Determinación de la categoría de malware del dispositivo ATP de Juniper

Evento

Cadena

1023

Caracteres

malwareCategory=

cncServers=

Dirección IP del servidor CnC asociado con este evento

Evento

Direcciones IPv4 e IPv6

cncServers=31.170.165.131

envíoTime=

Fecha y hora de la opción de envío de archivos de usuario de la CM Web UI

Evento

Datos

envíoTime=2016-12-26 17:54:46.04875+00

src=

La dirección de origen asociada con este evento de malware.

Evento

Direcciones IPv4 e IPv6

src=64.202.116.124

dst=

La dirección de origen asociada con este evento de malware.

Evento

Direcciones IPv4 e IPv6

dst=10.1.1.1

reqReferer=

La URL de la dirección HTTP que desencadenó o con la que se asocia el ataque de malware

Evento

URL

reqReferer=http:// www.christianforums.com/

url=

La URL asociada con un evento de malware de explotación.

Evento

URL

url=http:// 64.202.116.124/5butqfk/ ?2

ExternalId=

Número de incidentes del dispositivo ATP de Juniper.

Ejemplo:

externalId=1003

Extern al ID

Número de incidentes del dispositivo ATP de Juniper.

Ejemplo:

externalId=1003

EventId=

El número de ID de evento del dispositivo ATP de Juniper.

Ejemplo: eventId=13405

ID de evento

El número de ID de evento del dispositivo ATP de Juniper.

Ejemplo: eventId=13405

nombre de usuario=

El nombre de usuario del administrador o del usuario

El nombre de usuario está incluido en Syslogs de auditoría del sistema.

Evento

Cadena

Ejemplo:

username="s_roberts"

puerto=

Número de puerto asociado con el evento

Evento

Entero

puerto =22

protocolo=

Protocolo asociado con el evento

Evento

Entero

protocol=http

appliance-connecthealth

Estado de conexión entre recolectores web y núcleos secundarios.

Salud

Cadena

<134> 23 de noviembre 18:50:00 tap0.test.JATP.net JATP: CEF:0| JATP| Cortex|3.6.0. Salud de 15|2|| 5|username=adm en desc=description

json={ "user_id" : "8d7c450e-df6a-0ab6- 193d-143bfc6f7cac", "user_name" : "prueba. JATP", "is_admin" : 0, "has_debug": 1, "reset_password" : 1}

salud del tráfico

Estado del tráfico

Salud

Cadena

salud del tráfico

<134> 23 de noviembre 18:50:00 tap0.test.JATP.net JATP: CEF:0| JATP| Cortex|3.6.0. Salud 15|2|| 5|desc=descripción

json={ "user_id" : "8d7c450e-df6a-0ab6- 193d-143bfc6f7cac", "user_name" : "prueba. JATP", "is_admin" : 0, "has_debug": 1, "reset_password" : 1}

salud del vínculo

Estado del vínculo

Salud

Cadena

salud del vínculo

<134> 23 de noviembre 18:50:00 tap0.test.JATP.net JATP: CEF:0| JATP| Cortex|3.6.0. Salud de 15|2|link| 5|desc=descripción

json={ "user_id" : "8d7c450e-df6a-0ab6- 193d-143bfc6f7cac", "user_name" : "prueba. JATP", "is_admin" : 0, "has_debug": 1, "reset_password" : 1}

salud de los servicios

Estado de los servicios

Salud

Cadena

salud de los servicios

<134> 23 de noviembre 18:50:00 tap0.test.JATP.net JATP: CEF:0| JATP| Cortex|3.6.0. Salud de 15|2|servicios| 5|desc=descripción

json={ "user_id" : "8d7c450e-df6a-0ab6- 193d-143bfc6f7cac", "user_name" : "prueba. JATP", "is_admin" : 0, "has_debug": 1, "reset_password" : 1}

src_hostname

Nombre de host del origen de la amenaza. La información se obtiene de Active Directory (aplicable a la detección lateral de SMB, donde los detalles del host del origen de la amenaza se obtienen de Active Directory)

Evento

Cadena

2 de dic 17:17:25 IP 2 17:08:08 nombre de host CEF:0| JATP| Cortex|3.6.0. 1444|cnc| TROJAN_DUSV EXT.| 10|externalId=1489 eventId=14046 lastActivityTime=2016- 05-03 00:08:08.349+00 src=31.170.165.131 dst=172.20.1.201 src_hostname= dst_hostname=emailuse r-host src_username= dst_username=emailuse r malwareSeverity=0.75 malwareCategory=Troja n_Generic cncServers=31.170.165.131

dst_hostname

Nombre de host del punto de conexión (objetivo de amenaza); la información se obtiene de Active Directory

Evento

Cadena

6 de dic 16:52:22 IP 06 16:51:38 nombre de host CEF:0| JATP| Cortex|3.6.0. Correo electrónico de 1444|| Phishing|8| e xternalId=1504 eventId=14067 lastActivityTime=2016- 12-06 23:51:38+00 src= dst= src_hostname= dst_hostname= src_username= dst_username=src_email_id=src@abc.com dst_email_id={test@abc.com} startTime=2016- 12-06 23:51:38+00 url=http:// greatfilesarey.asia/QA/ files_to_pcaps/ 74280968a4917da52b5 555351eeda969.bin fileHash=bce00351cfc55 9afec5beb90ea387b037 88e4af5 fileType=PE32 ejecutable (GUI) Intel 80386, para MS Windows

src_username

Nombre de usuario de la persona que ha iniciado sesión en el host de origen de la amenaza. La información se obtiene de Active Directory (aplicable a la propagación lateral, ya que solo entonces obtendremos los detalles del host del origen de la amenaza desde Active Directory)

Evento

Cadena

3 de diciembre 16:42:24 IP 3 de diciembre 16:42:54 nombre de host CEF:0| JATP| Cortex|3.6.0. Correo electrónico de 1444|| Phishing|8| e xternalId=1499 eventId=14058 lastActivityTime=2016- 05-03 23:42:54+00 src= dst= src_hostname= dst_hostname= src_username= dst_username=src_email_id=src@abc.com dst_email_id={test1@ab c.com,test2@abc.com,test3@abc.com,} url=http:/ /greatfilesarey.asia/QA/ fileType=PE32 ejecutable (GUI) Intel 80386, para MS Windows

dst_username:

Nombre de usuario de la persona que ha iniciado sesión en el host de destino de la amenaza. La información se obtiene de Active Directory.

     

3 de diciembre 16:42:24 IP 3 de diciembre 16:42:54 nombre de host CEF:0| JATP| Cortex|3.6.0. Correo electrónico de 1444|| Phishing|8| e xternalId=1499 eventId=14058 lastActivityTime=2016- 05-03 23:42:54+00 src= dst= src_hostname= dst_hostname= src_username= dst_username=src_email_id=src@abc.com dst_email_id={test1@ab c.com,test2@abc.com,test3@abc.com,} url=http:/ /greatfilesarey.asia/QA/ fileType=PE32 ejecutable (GUI) Intel 80386, para MS Windows

src_email_id

ID de correo electrónico del remitente del correo electrónico

Evento

Cadena

3 de diciembre 16:42:24 IP 3 de diciembre 16:42:54 nombre de host CEF:0| JATP| Cortex|3.6.0. Correo electrónico de 1444|| Phishing|8| e xternalId=1499 eventId=14058 lastActivityTime=2016- 05-03 23:42:54+00 src_email_id=src@abc.com dst_email_id={test1@ab c.com,test2@ab c.com,test3@ab c.com,} startTime=201 6-05-03 23:42:54+00 url=http://greatfilesarey.asia/QA/ files_to_pcaps/ 74280968a4917da52b5 555351eeda969.bin fileType=PE32 ejecutable (GUI) Intel 80386, para MS Windows

dst_email_id

Identificaciones de correo electrónico de los destinatarios

Evento

Cadena

3 de diciembre 16:42:24 IP 3 de diciembre 16:42:54 nombre de host CEF:0| JATP| Cortex|3.6.0. Correo electrónico de 1444|| Phishing|8| e xternalId=1499 eventId=14058 lastActivityTime=2016- 05-03 23:42:54+00 src_email_id=src@abc.com dst_email_id={test1@ab c.com,test2@ab c.com,test3@ab c.com,} startTime=201 6-05-03 23:42:54+00 url=http://greatfilesarey.asia/QA/ files_to_pcaps/ 74280968a4917da52b5 555351eeda969.bin fileType=PE32 ejecutable (GUI) Intel 80386, para MS Windows

Url

URL erróneas enviadas por correo electrónico (en CEF/Syslog, la cantidad máxima de URL malas que envía El dispositivo ATP de Juniper es de 5, separados por un espacio de caracteres)

Evento

Cadena

3 de diciembre 16:42:24 IP 3 de diciembre 16:42:54 nombre de host CEF:0| JATP| Cortex|3.6.0. Correo electrónico de 1444|| Phishing|8| e xternalId=1499 eventId=14058 lastActivityTime=2016- 05-03 23:42:54+00 src_email_id=src@abc.com dst_email_id={test1@ab c.com,test2@ab c.com,test3@ab c.com,} startTime=201 6-05-03 23:42:54+00 url=http://greatfilesarey.asia/QA/ files_to_pcaps/ 74280968a4917da52b5 555351eeda969.bin fileType=PE32 ejecutable (GUI) Intel 80386, para MS Windows