Syslogマルウェアイベント感染通知の例
<134>Nov 23 21:58:05 tap54.eng.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0.15|cnc|TROJAN_Vertexbot.CY|5|externalId=353 eventId=13321 lastActivityTime=2016-02-24 02:17:25.638+00 src=31.170.165.131 dst=10.1.1.48 malwareSeverity=0.5 malwareCategory=Unknown cncServers=31.170.165.131
CEF 電子メール マルウェア イベントの通知の例:
2016-01-23 17:36:39.841+00 tap0.test.JATP.net CEF:0|JATP|Cortex|3.6.0.15|email|TROJAN_Zemot.CY|7|externalId=995 eventId=123 lastActivityTime=2016-01-23 17:36:39.841+00 src=50.154.149.189 dst=192.168.1.10 fileHash=d93216633bf6f86bc3076530b6e9ca6443fc75b5 fileName=abc.bin fileType=Zip archive data, at least v2.0 to extract startTime=2016-01-23 17:36:39.841+00
Syslog電子メールマルウェアイベント通知の例:
<134> Nov 23 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0.15|email|TROJAN_Zemot.CY|7|externalId=995 eventId=123 lastActivityTime=2016-01-23 17:36:39.841+00 src=50.154.149.189 dst=192.168.1.10 fileHash=d93216633bf6f86bc3076530b6e9ca6443fc75b5 fileName=abc.bin fileType=Zip archive data, at least v2.0 to extract startTime=2016-01-23 17:36:39.841+00
CEF CnC 通知の例:
2016-01-23 17:36:39.841+00 tap0.test.JATP.net CEF:0|JATP|Cortex|3.6.0.15|cnc|TROJAN_Zemot.CY|7|externalId=995 eventId=123 lastActivityTime=2016-01-23 17:36:39.841+00 src=50.154.149.189 dst=192.168.1.10 malwareSeverity=0.5 malwareCategory=Trojan_DataTheft cncServers=50.154.149.189
Syslog CNC 通知の例:
<134> Nov 23 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0.15|cnc|TROJAN_Zemot.CY|7|externalId=995 eventId=123 lastActivityTime=2016-01-23 17:36:39.841+00 src=50.154.149.189 dst=192.168.1.10 malwareSeverity=0.5 malwareCategory=Trojan_DataTheft cncServers=50.154.149.189
CEF ファイル送信通知の例:
2016-01-23 17:36:39.841+00 tap0.test.JATP.net CEF:0|JATP|Cortex|3.6.0.15|submission|TROJAN_Zemot.CY|7|externalId=995 eventId=123 lastActivityTime=2016-01-23 17:36:39.841+00 src=50.154.149.189 dst=192.168.1.10 fileHash=d93216633bf6f86bc3076530b6e9ca6443fc75b5 fileName=abc.bin fileType=Zip archive data, at least v2.0 to extract submissionTime=2016- 01-23 17:36:39.841+00
Syslog ファイルのアップロード通知の例:
<134>Nov 23 21:58:05 tap54.eng.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0.15|submission|VIRUS_NABUCUR.DC|5|externalId=354 eventId=13322 lastActivityTime=2016-02-24 02:25:05.163039+00src= dst= fileHash=12b1777e451ef24bcc940bc79cdd7a0ffb181d78 fileName= fileType=PE32 executable (GUI) Intel 80386, for MS Windows submissionTime=2016-02-24 02:25:05.163039+00
CEF エクスプロイト通知の例:
2016-01-23 17:36:39.841+00 tap0.test.JATP.net CEF:0|JATP|Cortex|3.6.0.15|exploit|Exploit|7|externalId=995 eventId=123 lastActivityTime=2016-01-23 17:36:39.841+00 src=50.154.149.189 dst=192.168.1.10 reqReferer=http://forums.govteen.com/content.php url=http://64.202.116.151/nzrems2/1
Syslogエクスプロイト通知の例:
<134>Nov 23 21:58:05 tap54.eng.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0.15|exploit|Exploit|3|externalId=352 eventId=13319 lastActivityTime=2016-02-24 02:18:21.105811+00 src=64.202.116.124 dst=192.168.50.203 reqReferer=http:// www.christianforums.com/ url=http://64.202.116.124/5butqfk/?2
CEF データ盗難通知の例:
2016-01-23 17:36:39.841+00 tap0.test.JATP.net CEF:0|JATP|Cortex|3.6.0.15|datatheft|2ND_ORDER_DLP_CUSTOMIZED : CreditCard_Rule|7|externalId=995 eventId=123 lastActivityTime=2016-01-23 17:36:39.841+00 src=50.154.149.189 dst=192.168.1.10 description=2ND_ORDER_DLP_CUSTOMIZED : CreditCard_Rule port=80 protocol=HTTP startTime=2016-01-23 17:36:39.841+00
Syslogデータ盗難通知の例:
<134> Nov 23 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0.15|datatheft|2ND_ORDER_DLP_CUSTOMIZED : CreditCard_Rule|7|externalId=995 eventId=123 lastActivityTime=2016-01-23 17:36:39.841+00 src=50.154.149.189 dst=192.168.1.10 description=2ND_ORDER_DLP_CUSTOMIZED : CreditCard_Rule port=80 protocol=HTTP startTime=2016-01-23 17:36:39.841+00
CEF システム正常性通知の例:
2016-01-23 17:36:39.841+00 tap0.test.JATP.net CEF:0|JATP|Cortex|3.6.0.15|3|traffic-health|5|desc=10.2.20.54 (10.2.20.54) received 0 KB of monitor traffic over last 10 minutes json={"pretty_age": "10 minutes", "ip": "10.2.20.54", "age": 10, "appliance": "10.2.20.54", "sample_size": 2, "traffic": "0”}
Syslog システム ヘルス通知の例:
<134>Nov 24 17:12:55 tap0.eng.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0.15|3|link-health|5|desc=Link eth1 on 10.2.20.54 (10.2.20.54) is down json={"interface": "eth1", "ip": "10.2.20.54", "appliance": "10.2.20.54", "app_id": "467dea60-d7da-11dd-83c7- 10bf48d79a6e", "up": false}
CEF システム監査通知の例:
2016-01-23 17:36:39.841+00 tap0.test.JATP.net CEF:0|JATP|Cortex|3.6.0.15|2|update-system-config|5|desc=descriptio json={ "user_id" : "8d7c450e-df6a-0ab6-193d-143bfc6f7cac", "user_name" : "test.JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 1}
2016-01-23 17:36:39.841+00 tap0.test.JATP.net CEF:0|JATP|Cortex|3.6.0.15|2|update-smtp|5|desc=description json={ "user_id" : "8d7c450e-df6a-0ab6-193d-143bfc6f7cac", "user_name" : "test.JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 1}
2016-01-23 17:36:39.841+00 tap0.test.JATP.net CEF:0|JATP|Cortex|3.6.0.15|2|reboot|5|desc=description json={ "user_id" : "8d7c450e-df6a-0ab6-193d-143bfc6f7cac", "user_name" : "test.JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 1}
Syslogシステム監査通知の例:
<134>Nov 24 14:32:59 tap0.eng.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0.15|2|add-user|5|username=admin desc=Delete user 'jane' with id 'f263f0b1-353e-046c-1577-6adc1c96cb62' json={ "user_id" : "f263f0b1-353e-046c-1577-6adc1c96cb62", "user_name" : "jane"} <134>Nov 24 14:31:20 tap0.eng.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0.15|2|update-user|5|username=admin desc=Updated user id '27ee212e-855d-08d4-953f-6b9cea46a679': name 'john', is admin: yes, has debug: yes, reset password: no json={ "user_id" : "27ee212e- 855d-08d4-953f-6b9cea46a679", "user_name" : "john", "is_admin" : 1, "has_debug": 1 , "reset_password" : 0}
CEF アラートのイベント ID またはインシデント ID を使用して、Juniper ATP Appliance Web UI に詳細を表示する
インシデントIDまたはイベントIDを指定すると、以下のURLを使用して、Juniper ATP Appliance Web UIに相対的な詳細を表示できます。
「JATP_HOSTNAME_HERE」をJuniper ATP Applianceのホスト名に置き換え、「0000000」をevent_idまたはincident_idに置き換えます。
-
https://JATP_HOSTNAME_HERE/admin/index.html?incident_id=0000000
-
https://JATP_HOSTNAME_HERE/admin/index.html?event_id=0000000
現在アクティブなログインセッションがない場合、システムはログイン/パスワードの入力を求めます。
CEF 拡張フィールドキー = 値ペアの定義
ジュニパーATPアプライアンスは、CEF拡張フィールドkey=valueペアで以下のパラメータを使用します。拡張のキーには「=」記号が付いています。例えば:。cncServers=a.b.c.d eventId=123.エクステンションの前のフィールドはパイプ ("|") で囲まれています。例: |login|, |cnc|, |JATP|.
次の表は、CEF メッセージや Syslog メッセージの各拡張フィールド キーを定義しています。
拡張フィールドキー |
フルネームと説明 |
イベント・タイプ |
Data Type & Length |
CEF または syslog キー値(例) |
---|---|---|---|---|
説明= システム監査のみ |
説明 descは、システム監査イベントの説明です。 |
監査 |
文字列 1023 文字 |
説明=更新ユーザー |
json= |
JSON 出力は、参照されるシステム監査イベントの種類に応じて異なるデータを送信します。 次のサンプル json= は update-user 用です。 JSON = { "user_id" : "2721f188-682e-03d0- 6dfa-5d5d688047b6", "ユーザー名" : "test.JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 0} |
監査 |
文字列 1023 文字 |
json= このjson=フィールドはログイン用です。 <134> 11月23日 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|皮質|3.6.0.15|2|ログイン|5|ユーザー名=a dmin 説明=説明 json={ "user_id" : "8d7c450e-df6a-0ab6- 193d-143bfc6f7cac", "user_name" : "test.JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 1} |
ログイン |
ログイン |
監査 |
文字列 |
ログイン <134> 11月23日 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|皮質|3.6.0.15|2|ログイン|5|ユーザー名=a dmin 説明=説明 json={ "user_id" : "8d7c450e-df6a-0ab6- 193d-143bfc6f7cac", "user_name" : "test.JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 1} |
ログイン失敗 |
ログイン失敗 |
監査 |
文字列 |
ログイン失敗 <134> 11月23日 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|皮質|3.6.0.15|2|ログイン失敗|5|ユーザー名=管理者説明=説明 json={ "user_id" : "8d7c450edf6a- 0ab6-193d- 143bfc6f7cac", "user_name" : "test.JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 1} |
ログアウト |
ロックアウト |
監査 |
文字列 |
ログアウト <134> 11月23日 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|皮質|3.6.0.15|2|ログアウト|5|ユーザー名= 管理者説明=説明 json={ "user_id" : "8d7c450e-df6a-0ab6- 193d-143bfc6f7cac", "user_name" : "test.JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 1} |
ユーザーの追加 |
ユーザーの追加 |
監査 |
文字列 |
ユーザーの追加 <134> 11月23日 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|皮質|3.6.0.15|2|追加ユーザー|5|ユーザー名=管理者説明=説明 json={ "user_id" : "8d7c450edf6a- 0ab6-193d- 143bfc6f7cac", "user_name" : "test.JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 1} |
アップデートユーザー |
ユーザーの更新 |
監査 |
文字列 |
アップデートユーザー <134> 11月23日 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|皮質|3.6.0.15|2|更新ユーザー|5|ユーザー名=管理者説明=説明 json={ "user_id" : "8d7c450edf6a- 0ab6-193d- 143bfc6f7cac", "user_name" : "test.JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 1} |
アップデート-システム-設定 |
システム構成の更新 |
監査 |
文字列 |
アップデート-システム-設定 <134>11 月 24 日 14:35:48 tap0.eng.JATP.net JATP: CEF:0|JATP|皮質|3.6.0.15|2|update-systemconfig|5|ユーザー名= adm in desc=更新設定を更新しました:ソフトウェア自動更新:'はい'、ホスト名の設定:'tap0'、server_fqdnの設定:'tap0.eng.JATP.net'、ivp_formatの設定:'アプリケーション/ zip'リモートシェルが有効:はい json={ "do_auto_update" : 1, "ホスト名" : "tap0", "server_fqdn" : "tap0.eng.JATP.net", "ivp_format" : "アプリケーション/zip", "remote_shell_enabled : 1 |
再起動 |
再起動 |
監査 |
文字列 |
再起動 <134> 11月23日 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|皮質|3.6.0.15|2|再起動|5|ユーザー名=管理者説明=説明 json={ "user_id" : "8d7c450edf6a- 0ab6-193d- 143bfc6f7cac", "user_name" : "test.JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 1} |
アプライアンス接続健康 |
アプライアンス接続の正常性 |
監査 |
文字列 |
アプライアンス接続健康 <134> 11月23日 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|皮質|3.6.0.15|2|アプライアンスコネクトヘルス|5|ユーザー名=adm in desc=説明 json={ "user_id" : "8d7c450e-df6a-0ab6- 193d-143bfc6f7cac", "user_name" : "test.JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 1} |
リンクヘルス |
リンクの正常性 |
リンクヘルス <134> 11月23日 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|皮質|3.6.0.15|2|リンクヘルス|5|ユーザー名=adm in desc=説明 json={ "user_id" : "8d7c450e-df6a-0ab6- 193d-143bfc6f7cac", "user_name" : "test.JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 1} |
||
トラフィックの正常性 |
トラフィックの健全性 |
トラフィックの正常性 <134> 11月23日 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|皮質|3.6.0.15|2|トラフィックヘルス|5|ユーザー名=adm in desc=説明 json={ "user_id" : "8d7c450e-df6a-0ab6- 193d-143bfc6f7cac", "user_name" : "test.JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 1} |
||
clear-db |
データベースのクリア |
監査 |
文字列 |
clear-db <134>11月24日 16:32:03 tap0.eng.JATP.net JATP: CEF:0|JATP|皮質|3.6.0.15|2|cleardb|5|ユーザー名=管理者説明=イベントデータベースのクリア json={ "ステータス" : 0} |
再起動サービス |
サービスの再起動 |
監査 |
文字列 |
再起動サービス <134>11月24日 14:37:07 tap54.eng.JATP.net JATP: CEF:0|JATP|皮質|3.6.0.15|2|再起動サービス|5|ユーザー名=広告最小説明=サービスの再起動 json={ "ステータス" : 0} |
レポートの追加 |
レポートの追加 |
監査 |
文字列 |
レポートの追加 <134>11 月 24 日 14:37:32 tap0.eng.JATP.net JATP: CEF:0|JATP|皮質|3.6.0.15|2|追加レポート|5|username=adm in desc=Add report (id '300BF9F1-973B-4523- 8BEB-B82B70B78925') json={ "report_id" : "300BF9F1-973B-4523- 8BEB-B82B70B78925"} |
削除レポート |
レポートの削除 |
監査 |
文字列 |
削除レポート <134>11月24日 14:37:41 tap0.eng.JATP.netJATP JATP: CEF:0|JATP|皮質|3.6.0.15|2|レポートの削除|5|username=adm in desc=Delete report (id 'CF411F54-EB45-0C41- 654A-AFA1B9FF9DEB') json={ "report_id" : "CF411F54-EB45-0C41- 654A-AFA1B9FF9DEB"} |
追加通知 |
通知の追加 |
監査 |
文字列 |
追加通知 <134>11 月 24 日 14:35:04 tap0.eng.JATP.net JATP: CEF:0|JATP|皮質|3.6.0.15|2|追加通知|5|ユーザー名=管理者説明=通知を追加(ID 'AD5D3D6C-6A51-4BB5- 958A-A1B392D3DFDA') json={ "report_id" : "AD5D3D6C-6A51- 4BB5-958AA1B392D3DFDA"} |
削除通知 |
通知の削除 |
監査 |
文字列 |
削除通知 <134>11 月 24 日 14:38:13 tap0.eng.JATP.net JATP: CEF:0|JATP|皮質|3.6.0.15|2|削除通知|5|ユーザー名 =admin desc=通知の削除 (id '26EC53CA-B1A7-4DBAA111- 013CD2548FFD') json={ "report_id" : "26EC53CA-B1A7-4DBAA111- 013CD2548FFD"} |
add-siem |
SIEM の追加 |
監査 |
文字列 |
add-siem <134>11月24日 14:29:08 tap0.eng.JATP.net JATP: CEF:0|JATP|皮質|3.6.0.15|2|addsiem|5|username=admin desc=Add SIEM upload to 'splunktest.eng.JATP.net' (ID '768687F7-4A81-42AF- 897A-6814A48D4155') json={ "report_id" : "768687F7-4A81-42AF- 897A-6814A48D4155", "host_name": "splunktest. eng.JATP.net"} |
delete-siem |
SIEMの削除 |
監査 |
文字列 |
delete-siem <134>11月24日 14:38:57 tap0.eng.JATP.net JATP: CEF:0|JATP|皮質|3.6.0.15|2|削除シーム|5|username=admin desc=SIEM アップロードを '10.9.8.7' に削除 (ID '8165C17F-F375-4226- 8E7A-BC8E690E3370') json={ "report_id" : "8165C17F-F375-4226- 8E7A-BC8E690E3370", "host_name": "10.9.8.7"} |
追加メールコレクター |
メールコレクターの追加 |
監査 |
文字列 |
追加メールコレクター <134>11 月 24 日 14:39:35 tap0.eng.JATP.net JATP: CEF:0|JATP|皮質|3.6.0.15|2|追加メールコレクター|5|username=a dmin desc='10.2.10.3' から電子メール コレクターを追加します (id '5FB8FFDC-7024- 467A-8AC8- 6CD68CA8781D') json={ "report_id" : "5FB8FFDC- 7024-467A-8AC8- 6CD68CA8781D", "host_name": "10.2.10.3"} |
削除メールコレクター |
メールコレクターの削除 |
監査 |
文字列 |
削除メールコレクター <134>11 月 24 日 14:39:09 tap0.eng.JATP.net JATP: CEF:0|JATP|皮質|3.6.0.15|2|削除メールコレクター|5|ユーザー名=a dmin desc='10.2.10.7'から電子メールコレクターを削除(id '6C36F94A-3CF2- 45D8-83B9- CDF50BE0490B') json={ "report_id" : "6C36F94A-3CF2- 45D8-83B9- CDF50BE0490B", "host_name": "10.2.10.7"} |
dst= |
宛先IPアドレス dst は、検知エンジン内で外部ホストへの通信が観察された場合の宛先の IP アドレスを表します。 |
イベント |
IPv4 および IPv6 アドレス |
dst=128.12.38.6
メモ:
注:これは、ユーザーがマルウェアをダウンロードした宛先IPアドレスである可能性もあります。この拡張機能は、感染だけに固有のものではありません。 |
最後のアクティビティ時間= |
このイベントに関連付けられた最後のアクティビティのタイム スタンプ。 |
イベント |
文字列 1023 文字 |
最後のアクティビティ時間= 2016- 12-26 18:06:52.333023 + 00 |
ファイルハッシュ= |
fileHashは、ジュニパーATPアプライアンス検知エンジンからのマルウェアオブジェクトのチェックサムを表します |
イベント |
255 文字 |
ファイルハッシュ=3174990d783f4 a1bd5e99db60176b920 |
ファイル名= |
ファイル名は、ジュニパーATPアプライアンス検出エンジンによって分析されたオブジェクトファイルの名前を表します |
イベント |
255 文字 |
ファイル名=トロイの木馬.ジェネリック |
ファイルタイプ= |
fileType は、分析されたオブジェクトの種類を表します。 |
イベント |
255 文字 |
ファイルタイプ=pdf |
開始時刻= |
startTime は、ジュニパー ATP アプライアンス検知システムにおける最初のマルウェア イベントの日時を表します。 |
イベント |
文字列 1023 文字 |
startTime=2016-08-11 18:22:19 |
マルウェアの重大度= |
0〜10の範囲の重大度リスク |
イベント |
整数 |
マルウェアの重大度=0.75 |
マルウェアカテゴリー= |
Juniper ATP Applianceマルウェアカテゴリーの決定 |
イベント |
文字列 1023 文字 |
マルウェアカテゴリー= |
cncサーバー= |
このイベントに関連付けられている CnC サーバーの IP アドレス |
イベント |
IPv4 および IPv6 アドレス |
cncServers=31.170.165.131 |
提出時間= |
CM Web UIからのユーザーファイル送信オプションの日時 |
イベント |
データ |
提出時間=2016- 12-26 17:54:46.04875+00 |
src= |
このマルウェア イベントに関連付けられた送信元アドレス。 |
イベント |
IPv4 および IPv6 アドレス |
src=64.202.116.124 |
dst= |
このマルウェア イベントに関連付けられた送信元アドレス。 |
イベント |
IPv4 および IPv6 アドレス |
dst=10.1.1.1 |
reqReferer= |
マルウェアの悪用をトリガーした、または関連付けた HTTP アドレスの URL |
イベント |
Url |
reqReferer=http:// www.christianforums.com/ |
url= |
エクスプロイト マルウェア イベントに関連付けられた URL。 |
イベント |
Url |
url=http:// 64.202.116.124/5butqfk/ ?2 |
外部 Id= |
Juniper ATP Applianceのインシデント番号。 例: 外部 Id=1003 |
外部 al ID |
Juniper ATP Applianceのインシデント番号。 |
例: 外部 Id=1003 |
イベント Id= |
Juniper ATP ApplianceイベントID番号。 例: eventId=13405 |
イベントID |
Juniper ATP ApplianceイベントID番号。 |
例: eventId=13405 |
ユーザー名= |
管理者またはユーザーのユーザー名 ユーザー名はシステム監査 Syslog に含まれています。 |
イベント |
文字列 |
例: ユーザー名="s_roberts" |
ポート= |
イベントに関連付けられているポート番号 |
イベント |
整数 |
ポート = 22 |
プロトコル= |
イベントに関連付けられたプロトコル |
イベント |
整数 |
プロトコル = HTTP |
アプライアンス接続健康 |
Web コレクターとセカンダリ コア間の接続の正常性。 |
健康 |
文字列 |
<134> 11月23日 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|皮質|3.6.0.15|2|アプライアンスコネクトヘルス|5|ユーザー名=adm in desc=説明 json={ "user_id" : "8d7c450e-df6a-0ab6- 193d-143bfc6f7cac", "user_name" : "test.JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 1} |
トラフィックの正常性 |
トラフィックの健全性 |
健康 |
文字列 |
トラフィックの正常性 <134> 11月23日 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|皮質|3.6.0.15|2|トラフィックヘルス|5|説明=説明 json={ "user_id" : "8d7c450e-df6a-0ab6- 193d-143bfc6f7cac", "user_name" : "test.JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 1} |
リンクヘルス |
リンクの正常性 |
健康 |
文字列 |
リンクヘルス <134> 11月23日 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|皮質|3.6.0.15|2|リンクヘルス|5|説明=説明 json={ "user_id" : "8d7c450e-df6a-0ab6- 193d-143bfc6f7cac", "user_name" : "test.JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 1} |
サービス正常性 |
サービスの正常性 |
健康 |
文字列 |
サービス正常性 <134> 11月23日 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|皮質|3.6.0.15|2|サービスヘルス|5|説明=説明 json={ "user_id" : "8d7c450e-df6a-0ab6- 193d-143bfc6f7cac", "user_name" : "test.JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 1} |
src_hostname |
脅威送信元のホスト名。情報はアクティブディレクトリから取得されます(脅威ソースのホストの詳細がアクティブディレクトリから取得されるSMB水平方向検出に適用可能) |
イベント |
文字列 |
12月2日 17:17:25 IP 12月02日 17:08:08 ホスト名 CEF:0|JATP|皮質|3.6.0.1444|CNC|TROJAN_DUSV内線|10|externalId=1489 eventId=14046 lastActivityTime=2016- 05-03 00:08:08.349+00 src=31.170.165.131 dst=172.20.1.201 src_hostname= dst_hostname=emailuse r-host src_username= dst_username=emailuse r malwareSeverity=0.75 malwareCategory=Troja n_Generic cncServers=31.170.165.131 |
dst_hostname |
エンドポイントのホスト名(脅威のターゲット)情報はアクティブディレクトリから取得されます |
イベント |
文字列 |
12月6日 16:52:22 IP 12月06日 16:51:38 ホスト名 CEF:0|JATP|皮質|3.6.0.1444|電子メール|フィッシング|8|e xternalId=1504 eventId=14067 lastActivityTime=2016- 12-06 23:51:38+00 src= dst= src_hostname= dst_hostname= src_username= dst_username=src_email_id=src@abc.com dst_email_id={test@abc.com} startTime=2016- 12-06 23:51:38+00 url=http:// greatfilesarey.asia/QA/ files_to_pcaps/ 74280968a4917da52b5 555351eeda969.bin fileHash=bce00351cfc55 9afec5beb90ea387b037 88e4af5 fileType=PE32 実行可能ファイル (GUI) Intel 80386、MS Windows用 |
src_username |
脅威送信元ホストにログインしているユーザーのユーザー名。情報はActive Directoryから取得されます(Active Directoryから脅威ソースのホストの詳細を取得する場合にのみ、水平方向の拡散に適用されます) |
イベント |
文字列 |
12月3日 16:42:24 IP 12月03日 16:42:54 ホスト名 CEF:0|JATP|皮質|3.6.0.1444|電子メール|フィッシング|8|e xternalId=1499 eventId=14058 lastActivityTime=2016- 05-03 23:42:54+00 src= dst= src_hostname= dst_hostname= src_username= dst_username=src_email_id=src@abc.com dst_email_id={test1@ab c.com,test2@abc.com,test3@abc.com,} url=http:/ /greatfilesarey.asia/QA/ fileType=PE32 executable (GUI) Intel 80386, for MS Windows |
dst_username: 脅威ターゲットホストにログインしたユーザーのユーザー名。情報はアクティブディレクトリから取得されます。 |
12月3日 16:42:24 IP 12月03日 16:42:54 ホスト名 CEF:0|JATP|皮質|3.6.0.1444|電子メール|フィッシング|8|e xternalId=1499 eventId=14058 lastActivityTime=2016- 05-03 23:42:54+00 src= dst= src_hostname= dst_hostname= src_username= dst_username=src_email_id=src@abc.com dst_email_id={test1@ab c.com,test2@abc.com,test3@abc.com,} url=http:/ /greatfilesarey.asia/QA/ fileType=PE32 executable (GUI) Intel 80386, for MS Windows |
|||
src_email_id |
Eメールの送信者のEメールID |
イベント |
文字列 |
12月3日 16:42:24 IP 12月03日 16:42:54 ホスト名 CEF:0|JATP|皮質|3.6.0.1444|電子メール|フィッシング|8|e xternalId=1499 eventId=14058 lastActivityTime=2016- 05-03 23:42:54+00 src_email_id=src@abc.com dst_email_id={test1@ab c.com,test2@ab c.com,test3@ab c.com,} startTime=2016-05-03 23:42:54+00 url=http:// greatfilesarey.asia/QA/ files_to_pcaps/ 74280968a4917da52b5 555351eeda969.bin fileType=PE32 実行可能ファイル (GUI) Intel 80386、MS Windows用 |
dst_email_id |
受信者の電子メール ID |
イベント |
文字列 |
12月3日 16:42:24 IP 12月03日 16:42:54 ホスト名 CEF:0|JATP|皮質|3.6.0.1444|電子メール|フィッシング|8|e xternalId=1499 eventId=14058 lastActivityTime=2016- 05-03 23:42:54+00 src_email_id=src@abc.com dst_email_id={test1@ab c.com,test2@ab c.com,test3@ab c.com,} startTime=2016-05-03 23:42:54+00 url=http:// greatfilesarey.asia/QA/ files_to_pcaps/ 74280968a4917da52b5 555351eeda969.bin fileType=PE32 実行可能ファイル (GUI) Intel 80386、MS Windows用 |
Url |
電子メールで送信された不正なURL(CEF/Syslogでは、Juniper ATP Applianceが送信する不正なURLの最大数は5で、文字スペースで区切られています) |
イベント |
文字列 |
12月3日 16:42:24 IP 12月03日 16:42:54 ホスト名 CEF:0|JATP|皮質|3.6.0.1444|電子メール|フィッシング|8|e xternalId=1499 eventId=14058 lastActivityTime=2016- 05-03 23:42:54+00 src_email_id=src@abc.com dst_email_id={test1@ab c.com,test2@ab c.com,test3@ab c.com,} startTime=2016-05-03 23:42:54+00 url=http:// greatfilesarey.asia/QA/ files_to_pcaps/ 74280968a4917da52b5 555351eeda969.bin fileType=PE32 実行可能ファイル (GUI) Intel 80386、MS Windows用 |