Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

Скомпрометированная информация о хосты: дополнительные сведения

Зараженные хозяйки – это системы с высокой уверенностью, что злоумышленники получили несанкционированный доступ. Взлом хоста может сделать с компьютером несколько вещей, например:

  • рассылать спам или электронную почту, атакуя другие системы или распространяя запрещенное ПО.

  • Сбор личных данных, например паролей и номеров учетных записей.

  • Чтобы обеспечить легкий доступ, отключите настройки безопасности компьютера.

Инфицированные хосты перечислены в качестве IP-адреса или IP-подсети хоста вместе с уровнем угроз, например, xxx.xxx.xxx.133 и уровнем угроз 5. После идентифицированного Juniper ОБЛАКО ATP рекомендует принять меры, и можно создать политики безопасности для принятия принудительных действий в отношении входящий и исходящих трафика на этих зараженных хостах. Juniper ATP Cloud использует несколько индикаторов, таких как попытка клиента связаться с сервером C&C или клиент, пытающийся загрузить вредоносное ПО, а также собственный алгоритм определения уровня угрозы зараженного хоста.

URL-адрес для передачи данных настраивается автоматически при запуске сценария операции для настройки серия SRX устройства. См. "Загрузка и запуск Juniper облачного сценария Advanced Threat Prevention".

На рис. 1 показан один пример маркировки устройств как зараженных хостов путем загрузки вредоносного ПО.

Рис. 1. Зараженный хост от вредоносного ПО Infected Host from Malware

Шаг

Описание

1

Клиент с IP-адресом 10.1.1.1 расположен за серия SRX и запрашивает загрузку файла из Интернета.

2

Устройство серия SRX получает файл из Интернета и проверяет свои политики безопасности, чтобы увидеть, нужно ли принять какие-либо меры перед отправкой файла клиенту.

3

Устройство серия SRX имеет Juniper облако ATP, которая требует, чтобы только что загруженные файлы того же типа, что и для облако проверки.

Данный файл не кэшется в облако, т.е. это первый раз, когда этот конкретный файл был отправлен облако на проверку, поэтому серия SRX отправляет файл клиенту, в то время как облако выполняет исчерпывающую проверку.

4

В этом примере анализ облако, определяет, что уровень угрозы файла превышает пороговое значение, указывающий на вредоносное ПО, и отправляет эту информацию обратно на серия SRX устройство.

Клиент помещен в список зараженных хостов.

5

Juniper ATP Cloud не может клиенту получить доступ в Интернет.

Клиент остается в списке зараженных хостов до тех пор, пока администратор не определит его безопасность.

Состояние хостов можно просмотреть на веб-портале Juniper ATP Cloud, пере навигацией по Monitor > Hosts. Можно также использовать команду show services security-intelligence statistics интерфейс командной строки на устройстве серия SRX чтобы просмотреть краткий отчет.

В окне "Configure > Configuration > Infected Hosts" можно настроить электронное сообщение, чтобы оповещать пользователей о превышении заданного порогового значения уровня угроз для хоста.

В syslog создается сообщение о состоянии вредоносного ПО и события /var/log/messages хоста. Junos OS журналы передачи с помощью режима потока и режима события. Для получения сведений о поддержке JSA и QRa platformem см. Руководство Juniper платформ, поддерживаемых облаком ATP.

Примечание.

Чтобы использовать системный журнал, необходимо настроить системный журнал для всех серия SRX устройств в пределах одной области. Например, если REALM1 содержит SRX1 и SRX2, как SRX1, так и SRX2 должны иметь включенную системную регистрацию. Дополнительные сведения о настройке системного журнала см. в sRX Getting Started - System Logging.

  • Вредоносное ПО событие syslog с использованием режима потока.

  • Событие состояния хоста в syslog с использованием режима потока.

  • Вредоносное ПО событий syslog в режиме события.

  • Событие состояния хоста в syslog с помощью режима события.

Запись syslog содержит следующие поля:

Поле

Описание

Timestamp

Дата и время создания записи в syslog.

tenant_id

Внутренний уникальный идентификатор.

sample_sha256

Значение hash sha-256 загруженного файла.

client_ip

IP-адрес клиента, поддерживающие и IP4, и IP6.

mw_score

Оценка вредоносного ПО. Это всего 0-10.

mw_info

Имя вредоносного ПО или краткое описание.

client_username

Имя пользователя, загрузив возможное вредоносное ПО.

client_hostname

Имя хоста устройства, загрузив возможное вредоносное ПО.

host_status

Состояние хоста. В настоящее время это только in_progress .

host_policy

Имя Juniper облака ATP, которая принудительно влияла на это действие.

threat_level

Уровень угрозы хоста. Это всего 0-10.

infected_host_status

Зараженный статус хоста. Это может быть один из Added следующих: , Cleared , Present Absent

Причина

Причина записи журнала. Это может быть один из следующих: Malware , CC Manual .

Детали

Краткое описание причины, например: malware analysis detected host downloaded a malicious_file with score 9, sha256 abc123

О блоке Drop and Block Close

При использовании команды интерфейс командной строки, можно увидеть блок отбросить и show services security-intelligence statistics блокировать сеансы закрытия.

Можно настроить блок drop или block close. Если выбрать блок drop, серия SRX устройство тихо сбрасывает пакет сеанса, и сеанс в конечном счете блокируется. Если настроено block close, серия SRX отправляют RST-пакет TCP клиенту и серверу, и сеанс сразу же отстает.

Можно использовать block close, например, для защиты ресурса клиента или сервера. Он немедленно отпустит клиент и серверные розетки. Если ресурсы клиента или сервера не являются проблемой или кому-либо не нужно знать о расположенном в сети межсетевом экране, можно использовать блок отбросить.

Блокировка close допустима только для трафика TCP. Не-TCP-трафик использует блок отбросить, даже если он настроен close. Например, если заблокировать инфицированные хосты:

при отправке icmp-трафика через устройство он отброшен.

Дополнительные сведения о настройке блок-отбросить и закрыть см. в серия SRX устройств для блокировки инфицированных хостов.

Сведения о хостах

Щелкните IP-адрес хоста на главной странице хоста, чтобы просмотреть подробные сведения о текущих угрозах, исходящих от выбранного хоста. На странице details можно также изменить статус исследования и статус блокировки хоста. Дополнительные сведения о хостах см. в веб-инструментах UI и интерактивной справке.

Команду интерфейс командной строки также можно использовать show security dynamic-address category-name Infected-Hosts для просмотра списка зараженных хостов.

Автоматическое снижение уровня угрозы хоста или удаление из зараженного канала хостов

Уровень угрозы для хоста может автоматически уменьшиться, если не было событий безопасности для этого хоста в течение одного месяца. Месяц, о который идет речь, является временем переходящего времени по отношению к текущему времени. Количество и тип событий, происходящих за этот месяц, определяют оценку уровня угроз для хоста. Хост может быть автоматически удален из списка инфицированных хостов тем же процессом, если все вредоносные события не проходят через это окно в течение месяца.

Если имеет место ручное разрешение проблемы хоста и устанавливается нулевой уровень угрозы, но происходит другое вредоносное ПО, событие разрешения игнорируется, и итоговая оценка угроз для хоста в течение одного месяца учитывает все подозрительные события в течение одного месяца для определения новой оценки угроз.