Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción general de hosts

Acceda a esta página desde el menú Monitor .

La página de hosts enumera los hosts comprometidos y sus niveles de amenazas asociados. A partir de aquí, puede monitorear y mitigar las detecciones de malware según el host.

Nota:

Notificación de usuario de hosts infectados: a partir de Junos OS 18.1R1, es compatible la redirección de URL HTTP basada en hosts infectados con la acción de bloqueo. Esto se configura a través de la CLI en el dispositivo serie SRX mediante el set services security-intelligence profile comando. Consulte la Guía de referencia de la CLI de ATP Cloud de Juniper para obtener más información.

Los hosts comprometidos son sistemas para los que existe una alta confianza de que los atacantes han obtenido acceso no autorizado. Cuando un host está en peligro, el atacante puede hacer varias cosas en el equipo, como:

  • Envíe correo electrónico basura o spam para atacar otros sistemas o distribuir software ilegal.

  • Recopile información personal, como contraseñas y números de cuenta.

Los hosts comprometidos se enumeran como fuentes de datos de inteligencia segura (también denominadas fuentes de información). La fuente de datos enumera la dirección IP del host junto con un nivel de amenaza; por ejemplo, 10.130.132.133 y nivel de amenaza 5. Una vez que se identifican las amenazas, puede crear políticas de prevención de amenazas para tomar medidas de cumplimiento en el tráfico entrante y saliente de estos hosts infectados. Consulte Configuración para hosts infectados para obtener más información.

Para los hosts enumerados en esta página, puede realizar las siguientes acciones en uno o varios hosts a la vez:

Tabla 1: Operaciones para varios hosts infectados

Acción

Definición

Exportar datos

Haga clic en el botón Exportar para descargar los datos de host comprometidos a un archivo CSV. Se le pedirá que reduzca la descarga de datos a un período de tiempo seleccionado.

Establecer reemplazo de política

Active la casilla junto a uno o varios hosts y elija una de las siguientes opciones:

  • Nunca incluyas host(s) en fuentes de hosts infectados

  • Siempre incluya host(s) en la alimentación de hosts infectados

  • Usar política configurada (no incluida en la fuente de hosts infectados)

Nota:

La política a la que se hace referencia aquí es la política configurada en el dispositivo serie SRX. Vea ejemplo: Configurar una política de nube de prevención avanzada de amenazas de Juniper mediante la CLI.

Establecer estado de investigación

Active la casilla situada junto a uno o varios hosts y elija una de las siguientes opciones: En curso, Resuelto - falso positivo, Resuelto - fijo y Resuelto - ignorado.

NOTA: Cuando seleccione una opción de anulación de política para hosts, otros campos de estado dependiente, como fuente de host infectado, también cambiarán en consecuencia. En algunos casos, es posible que tenga que actualizar la página para ver la información actualizada.

La siguiente información está disponible en la tabla Host.

Tabla 2: Información del host comprometido

Campo

Descripción

Identificador de host

El nombre asignado a ATP Cloud de Juniper para el host. Juniper ATP Cloud crea este nombre con información de host conocida, como dirección IP, dirección MAC, nombre de usuario y nombre de host. El nombre asignado tendrá el siguiente formato: username@server. Si no se conoce el nombre de usuario y se utiliza la dirección MAC o la dirección IP, el nombre puede aparecer como cualquiera de los siguientes formatos:

user01@2001:db8:cc:dd:ee:ffo user02@10.1.1.110.1.1.1

Nota:

Puede editar este nombre. Si edita el nombre asignado a la nube ATP de Juniper, Juniper ATP Cloud reconocerá el nombre nuevo y no lo invalidará.

Host IP

La dirección IP del host afectado.

Nivel de amenaza

Un número entre 0 -10 que indica la gravedad de la amenaza detectada, siendo 10 el más alto.

Nota:

Haga clic en los tres puntos verticales en la parte superior de la columna para filtrar la información de la página por nivel de amenaza.

Fuente de host infectado

Muestra la configuración actual de la alimentación del host:

  • Incluido: Esta es la política predeterminada. El host se incluye en la fuente de host infectado si su nivel de amenaza cumple con el umbral de host infectado establecido.

  • Excluido: el host está permitido en la lista y se excluirá de la fuente de host infectado incluso si su nivel de amenaza cumple con el umbral.

  • Excluido manualmente: el host se permite en la lista de forma manual y se excluirá de la fuente de host infectado, incluso si su nivel de amenaza cumple con el umbral.

    Ejemplo: Si no habilita la configuración Agregar a hosts infectados mientras crea una nueva fuente adaptable de perfiles de amenazas, la información de la fuente no se enviará a la fuente del host infectado.

  • Incluido manualmente: el host está en lista de bloques y se incluirá en la fuente de host infectado incluso si su nivel de amenaza no cumple con el umbral.

Última actividad de host

Muestra la fecha y hora de la actividad más reciente de la amenaza.

Éxitos de C&C

Número de veces que se detectó una amenaza de comunicación del servidor de comando y control con este host.

Nota:

Haga clic en los tres puntos verticales en la parte superior de la columna para filtrar la información en la página por golpes de C&C.

Malware

La cantidad de veces que este host descargó una amenaza de malware.

Nota:

Haga clic en los tres puntos verticales en la parte superior de la columna para filtrar la información de la página por detecciones de malware.

Política

Muestra la configuración de política actual.

  • Usar política configurada

  • Siempre incluya host en la fuente de hosts infectados

  • Nunca incluya al host en la alimentación de hosts infectados

Estado de la investigación

Muestra abierto, en curso, resuelto-falso positivo, resuelto-fijo, resuelto-ignorado

Fuente

Muestra el origen de la amenaza. Por ejemplo, API, detección, fuente adaptable de perfiles de amenazas, etc.

Documentación relacionada