Monitorear amenazas

Usted está aquí: Supervisar registros > amenazas de >.

Utilice la funcionalidad de supervisión para ver las amenazas de seguridad. Las amenazas se definen como cualquier SPI, pantalla, inteligencia de seguridad, antivirus, filtrado de contenido o antispam.

Nota:

La página Amenaza está disponible en todos los firewalls de la serie SRX, excepto en la línea SRX5000 de dispositivos.

En la tabla 1 se describen los campos de la página Amenazas.

Tabla 1: Campos en la página Amenazas
Campo	Descripción
Último	Seleccione la hora de la lista para ver la actividad que más le interese. Una vez que se selecciona la hora, todos los datos presentados en su vista se actualizan automáticamente. También puede usar Personalizar para establecer una fecha personalizada y hacer clic en Aplicar para ver las amenazas especificadas.
Actualizar	Haga clic en el icono de actualización para obtener la información más reciente sobre las amenazas.
Mostrar ocultar columnas	Este icono está representado por tres puntos verticales. Permite mostrar u ocultar una columna en la cuadrícula.
Exportar a CSV	Puede exportar los datos de amenazas a un archivo de valores separados por comas (.csv). Seleccione los tres puntos verticales en el lado derecho de la página y haga clic en Exportar a CSV. El archivo CSV se descarga en el equipo local. Solo puede descargar un máximo de 100 datos de sesiones.
Criterios de filtro	Utilice el cuadro de texto de filtro presente encima de la cuadrícula de tabla. La búsqueda incluye los operadores lógicos como parte de la cadena de filtro. Nota: A partir de la versión 23.1R1 de Junos OS, J-Web admite los siguientes operadores: = (igual a) Y != (no igual a) >= (mayor o igual a) <= (menor o igual a) Anidados y/o J-web también admite Netmask cuando se buscan direcciones IP. En el cuadro de texto de filtro, al colocar el cursor sobre el icono, se muestra un ejemplo de condición de filtro. Cuando empiece a escribir la cadena de búsqueda, el icono indica si la cadena de filtro es válida o no. Están disponibles los siguientes filtros: IP de origen IP de destino ID de sesión Tipo de registro Usuario Aplicación Zona de origen Zona de destino País de origen País de destino Puerto de origen Puerto de destino Protocolo
X	Haga clic en X para borrar el filtro de búsqueda.
Guardar filtro	Haga clic en Guardar filtro para guardar los filtros después de especificar los criterios de filtrado. Para guardar un filtro: Introduzca los criterios de filtro que busca en el cuadro de búsqueda avanzada. Haga clic en Guardar filtro. Introduzca un nombre para el filtro y haga clic en el icono de marca para guardarlo.
Filtro de carga	Muestra la lista de filtros guardados. Coloque el cursor sobre el nombre del filtro guardado para ver la expresión de consulta. Puede eliminar el filtro guardado mediante el icono de eliminación.
Ver detalles	Cuando coloca el cursor sobre el archivo PCAP, aparece un icono de vista detallada antes del archivo PCAP. Haga clic en el icono para ver los detalles del registro en la página Vista detallada del registro. Haga clic en el icono de descarga en la página Vista de registro detallada para descargar el archivo de captura de paquetes. Si los archivos no están disponibles, la descarga falla y recibirá un mensaje de error. Nota: El icono de descarga solo estará disponible para los registros de ataques IPS. Para ver los datos de captura de paquetes en la página Amenazas, asegúrese de que la notificación de registro de ataques esté habilitada. Si no: Vaya a Servicios de seguridad > Política de > IPS. Haga clic en el icono de agregar (+) en la parte superior derecha de la página Directiva. Aparecerá la página Agregar directiva de IDP. Escriba el nombre de la directiva IPS y, a continuación, haga clic en +. Aparecerá la página Agregar regla IPS. Haga clic en Avanzadas y active la casilla de verificación para configurar Habilitar registro de ataques en Notificación.
PCAP	Haga clic en el icono de descarga para descargar el archivo de captura de paquetes (PCAP) de ataques IPS. Nota: El icono de descarga solo aparece para los registros de ataques IPS. El archivo PCAP se descargará en su sistema desde la carpeta /var/log/pcap/. Si los archivos no están disponibles, la descarga falla y recibirá un mensaje de error.
Hora	Muestra la hora a la que se recibió el registro de amenazas.
Tipo de registro	Muestra el tipo de registro de amenazas. Por ejemplo, IPS, Antivirus, Antispam, etc.
Nombre	Muestra el nombre del evento.
Severidad	Muestra la gravedad de la amenaza.
Zona de origen	Muestra la zona de origen de las amenazas.
IP de origen	Muestra la dirección IP de origen desde donde se produjo el registro de amenazas.
Puerto de origen	Muestra el número de puerto del origen.
Usuario	Muestra el nombre de usuario con el que se genera el registro de amenazas.
Zona de destino	Muestra la zona de destino de las amenazas.
IP de destino	Muestra la IP de destino de las amenazas ocurridas.
Puerto de destino	Muestra el número de puerto del destino.
Aplicación	Muestra la aplicación anidada o el nombre de la aplicación a partir de la cual se generan las amenazas.
Acción	Muestra la acción realizada a partir de las amenazas.
ID de sesión	Muestra el ID de sesión de tráfico de las amenazas.
Motivo del cierre	Muestra el motivo del cierre de la sesión.
Perfil	Muestra el nombre del perfil de amenaza.
Categoría	Muestra la categoría de amenaza.
URL	Muestra el nombre de la dirección URL a la que se ha accedido que desencadenó el evento.
Objeto	Muestra el nombre de objeto de las amenazas.
Interfaz de destino	Muestra el nombre de interfaz del destino.
Interfaz de origen	Muestra el nombre de interfaz del origen.
Política	Muestra el nombre de directiva que activó el registro de amenazas.
Regla	Muestra el nombre de regla del registro de amenazas.
Protocolo	Muestra el identificador de protocolo en el registro de amenazas.
CVE-ID	Muestra la información de los identificadores de vulnerabilidades y exposiciones comunes (CVE) de la amenaza.
Tiempo transcurrido	Muestra el tiempo transcurrido desde que comenzó el último intervalo de tiempo.
ID de registro de paquetes	Muestra el ID de los paquetes recibidos antes y después del ataque para un análisis más detallado del comportamiento del atacante.
XFF	Muestra el encabezado X-Forwarded-For (XFF) agregado a los paquetes por un servidor proxy que incluye la dirección IP real del cliente que realiza la solicitud.
Nombre de archivo	Muestra el nombre de archivo del registro de amenazas.
Argumento	Muestra los argumentos que se pasan a un evento cuando se invoca desde el registro de amenazas.
Nombre de la fuente	Muestra el nombre del origen desde donde se origina la amenaza.
Nombre del feed	Muestra el nombre de la fuente de la amenaza detectada.
Contar	Muestra el número de amenazas que cuentan.
Tipo de mensaje	Muestra el tipo de mensaje de la amenaza detectada.
HTTP Host	Muestra la URL del host de la amenaza.

Monitorear amenazas

Documentación relacionada