Syslog マルウェア イベント感染通知の例
<134>Nov 23 21:58:05 tap54.eng.JATP.net JATP:
CEF:0|JATP|Cortex|3.6.0.15|cnc|TROJAN_Vertexbot.CY|5|externalId=353
eventId=13321 lastActivityTime=2016-02-24 02:17:25.638+00
src=31.170.165.131 dst=10.1.1.48 malwareSeverity=0.5
malwareCategory=Unknown cncServers=31.170.165.131
CEF 電子メール マルウェア イベント通知の例:
2016-01-23 17:36:39.841+00 tap0.test.JATP.net
CEF:0|JATP|Cortex|3.6.0.15|email|TROJAN_Zemot.CY|7|externalId=995
eventId=123 lastActivityTime=2016-01-23 17:36:39.841+00
src=50.154.149.189 dst=192.168.1.10
fileHash=d93216633bf6f86bc3076530b6e9ca6443fc75b5 fileName=abc.bin
fileType=Zip archive data, at least v2.0 to extract startTime=2016-01-23 17:36:39.841+00
Syslog メール マルウェア イベント通知の例:
<134> Nov 23 18:50:00 tap0.test.JATP.net JATP:
CEF:0|JATP|Cortex|3.6.0.15|email|TROJAN_Zemot.CY|7|externalId=995
eventId=123 lastActivityTime=2016-01-23 17:36:39.841+00
src=50.154.149.189 dst=192.168.1.10
fileHash=d93216633bf6f86bc3076530b6e9ca6443fc75b5 fileName=abc.bin
fileType=Zip archive data, at least v2.0 to extract startTime=2016-01-23 17:36:39.841+00
CEF CnC 通知の例:
2016-01-23 17:36:39.841+00 tap0.test.JATP.net
CEF:0|JATP|Cortex|3.6.0.15|cnc|TROJAN_Zemot.CY|7|externalId=995
eventId=123 lastActivityTime=2016-01-23 17:36:39.841+00
src=50.154.149.189 dst=192.168.1.10
malwareSeverity=0.5 malwareCategory=Trojan_DataTheft cncServers=50.154.149.189
Syslog CnC 通知の例:
<134> Nov 23 18:50:00 tap0.test.JATP.net JATP:
CEF:0|JATP|Cortex|3.6.0.15|cnc|TROJAN_Zemot.CY|7|externalId=995
eventId=123 lastActivityTime=2016-01-23 17:36:39.841+00
src=50.154.149.189 dst=192.168.1.10 malwareSeverity=0.5
malwareCategory=Trojan_DataTheft cncServers=50.154.149.189
CEFファイル送信通知の例:
2016-01-23 17:36:39.841+00 tap0.test.JATP.net
CEF:0|JATP|Cortex|3.6.0.15|submission|TROJAN_Zemot.CY|7|externalId=995
eventId=123 lastActivityTime=2016-01-23 17:36:39.841+00
src=50.154.149.189 dst=192.168.1.10
fileHash=d93216633bf6f86bc3076530b6e9ca6443fc75b5 fileName=abc.bin
fileType=Zip archive data, at least v2.0 to extract submissionTime=2016- 01-23 17:36:39.841+00
Syslogファイルのアップロード通知の例:
<134>Nov 23 21:58:05 tap54.eng.JATP.net JATP:
CEF:0|JATP|Cortex|3.6.0.15|submission|VIRUS_NABUCUR.DC|5|externalId=354
eventId=13322 lastActivityTime=2016-02-24 02:25:05.163039+00src= dst=
fileHash=12b1777e451ef24bcc940bc79cdd7a0ffb181d78 fileName=
fileType=PE32 executable (GUI) Intel 80386, for MS Windows
submissionTime=2016-02-24 02:25:05.163039+00
CEFエクスプロイト通知の例:
2016-01-23 17:36:39.841+00 tap0.test.JATP.net
CEF:0|JATP|Cortex|3.6.0.15|exploit|Exploit|7|externalId=995 eventId=123
lastActivityTime=2016-01-23 17:36:39.841+00 src=50.154.149.189
dst=192.168.1.10 reqReferer=http://forums.govteen.com/content.php
url=http://64.202.116.151/nzrems2/1
Syslogエクスプロイト通知の例:
<134>Nov 23 21:58:05 tap54.eng.JATP.net JATP:
CEF:0|JATP|Cortex|3.6.0.15|exploit|Exploit|3|externalId=352
eventId=13319 lastActivityTime=2016-02-24 02:18:21.105811+00
src=64.202.116.124 dst=192.168.50.203 reqReferer=http:// www.christianforums.com/
url=http://64.202.116.124/5butqfk/?2
CEFデータ盗難通知の例:
2016-01-23 17:36:39.841+00 tap0.test.JATP.net
CEF:0|JATP|Cortex|3.6.0.15|datatheft|2ND_ORDER_DLP_CUSTOMIZED :
CreditCard_Rule|7|externalId=995 eventId=123 lastActivityTime=2016-01-23
17:36:39.841+00 src=50.154.149.189 dst=192.168.1.10
description=2ND_ORDER_DLP_CUSTOMIZED : CreditCard_Rule port=80
protocol=HTTP startTime=2016-01-23 17:36:39.841+00
Syslogデータ盗難通知の例:
<134> Nov 23 18:50:00 tap0.test.JATP.net JATP:
CEF:0|JATP|Cortex|3.6.0.15|datatheft|2ND_ORDER_DLP_CUSTOMIZED :
CreditCard_Rule|7|externalId=995 eventId=123 lastActivityTime=2016-01-23
17:36:39.841+00 src=50.154.149.189 dst=192.168.1.10 description=2ND_ORDER_DLP_CUSTOMIZED : CreditCard_Rule port=80
protocol=HTTP startTime=2016-01-23 17:36:39.841+00
CEF システム正常性通知の例:
2016-01-23 17:36:39.841+00 tap0.test.JATP.net
CEF:0|JATP|Cortex|3.6.0.15|3|traffic-health|5|desc=10.2.20.54
(10.2.20.54) received 0 KB of monitor traffic over last 10 minutes
json={"pretty_age": "10 minutes", "ip": "10.2.20.54", "age": 10,
"appliance": "10.2.20.54", "sample_size": 2, "traffic": "0”}
Syslog システム正常性通知の例:
<134>Nov 24 17:12:55 tap0.eng.JATP.net JATP:
CEF:0|JATP|Cortex|3.6.0.15|3|link-health|5|desc=Link eth1 on 10.2.20.54
(10.2.20.54) is down json={"interface": "eth1", "ip": "10.2.20.54",
"appliance": "10.2.20.54", "app_id": "467dea60-d7da-11dd-83c7-
10bf48d79a6e", "up": false}
CEFシステム監査通知の例:
2016-01-23 17:36:39.841+00 tap0.test.JATP.net
CEF:0|JATP|Cortex|3.6.0.15|2|update-system-config|5|desc=descriptio
json={ "user_id" : "8d7c450e-df6a-0ab6-193d-143bfc6f7cac", "user_name" :
"test.JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 1}
2016-01-23 17:36:39.841+00 tap0.test.JATP.net
CEF:0|JATP|Cortex|3.6.0.15|2|update-smtp|5|desc=description json={
"user_id" : "8d7c450e-df6a-0ab6-193d-143bfc6f7cac", "user_name" :
"test.JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 1}
2016-01-23 17:36:39.841+00 tap0.test.JATP.net
CEF:0|JATP|Cortex|3.6.0.15|2|reboot|5|desc=description json={ "user_id"
: "8d7c450e-df6a-0ab6-193d-143bfc6f7cac", "user_name" : "test.JATP",
"is_admin" : 0, "has_debug": 1 , "reset_password" : 1}
Syslogシステム監査通知の例:
<134>Nov 24 14:32:59 tap0.eng.JATP.net JATP:
CEF:0|JATP|Cortex|3.6.0.15|2|add-user|5|username=admin desc=Delete user
'jane' with id 'f263f0b1-353e-046c-1577-6adc1c96cb62' json={ "user_id" :
"f263f0b1-353e-046c-1577-6adc1c96cb62", "user_name" : "jane"}
<134>Nov 24 14:31:20 tap0.eng.JATP.net JATP:
CEF:0|JATP|Cortex|3.6.0.15|2|update-user|5|username=admin desc=Updated
user id '27ee212e-855d-08d4-953f-6b9cea46a679': name 'john', is admin:
yes, has debug: yes, reset password: no json={ "user_id" : "27ee212e-
855d-08d4-953f-6b9cea46a679", "user_name" : "john", "is_admin" : 1,
"has_debug": 1 , "reset_password" : 0}
CEFアラートのeventIDまたはincidentIDを使用したJuniper ATP Appliance Web UIでの詳細の表示
インシデントIDまたはイベントIDを指定すると、以下のURLを使用して、Juniper ATP Appliance Web UIに相対的な詳細を表示できます。
「JATP_HOSTNAME_HERE」をJuniper ATP Applianceのホスト名に、「0000000」をevent_idまたはincident_idに置き換えてください。
-
https://JATP_HOSTNAME_HERE/admin/index.html?incident_id=0000000
-
https://JATP_HOSTNAME_HERE/admin/index.html?event_id=0000000
現在アクティブなログインセッションがない場合、システムはログイン/パスワードの入力を求めます。
CEF 拡張フィールド キー = 値ペアの定義
Juniper ATP Appliance は、CEF 拡張フィールドの key=value ペアで次のパラメーターを使用します。拡張機能のキーには「=」記号があります。例えば:。cncServers=a.b.c.d eventId=123 です。拡張の前のフィールドはパイプ ("|") で囲まれています。たとえば、|login|、|cnc|、|JATP|.
次の表は、CEFおよび/またはSyslogメッセージの各拡張フィールドキーを定義しています。
拡張フィールドキー |
フルネームと説明 |
イベントタイプ |
データ型と長さ |
CEF または Syslog キー値(例) |
|---|---|---|---|---|
説明= システム監査のみ |
形容 desc は、システム監査イベントの説明です。 |
監査 |
糸 1023 文字 |
説明=update-user |
json= |
json出力は、参照されるシステム監査イベントの種類に応じて異なるデータを送信します。 次のサンプル json= は update-user 用です。 json = { "user_id" : "2721f188-682e-03d0- 6dfa-5d5d688047b6", "username" : "test.JATP」、「is_admin」:0、「has_debug」:1、「reset_password」:0} |
監査 |
糸 1023 文字 |
json= このjson=フィールドはログイン用です。 <134> 11月23日 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0です。15|2|login|5|username=a dmin desc=description json={ "user_id" : "8D7C450E-DF6A-0AB6- 193D-143BFC6F7CAC", "user_name" : "テスト.JATP」、「is_admin」:0、「has_debug」:1、「reset_password」:1} |
ログイン |
ログイン |
監査 |
糸 |
ログイン <134> 11月23日 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0です。15|2|login|5|username=a dmin desc=description json={ "user_id" : "8D7C450E-DF6A-0AB6- 193D-143BFC6F7CAC", "user_name" : "テスト.JATP」、「is_admin」:0、「has_debug」:1、「reset_password」:1} |
ログイン失敗 |
ログイン失敗 |
監査 |
糸 |
ログイン失敗 <134> 11月23日 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0です。15|2|ログイン失敗|5|username=admin desc=説明 json={ "user_id" : "8D7C450EDF6A- 0AB6-193D- 143BFC6F7CAC", "user_name" : "テスト.JATP」、「is_admin」:0、「has_debug」:1、「reset_password」:1} |
ログアウト |
ロックアウト |
監査 |
糸 |
ログアウト <134> 11月23日 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0です。15|2|ログアウト|5|ユーザー名= admin desc=説明 json={ "user_id" : "8D7C450E-DF6A-0AB6- 193D-143BFC6F7CAC", "user_name" : "テスト.JATP」、「is_admin」:0、「has_debug」:1、「reset_password」:1} |
ユーザーの追加 |
ユーザーを追加 |
監査 |
糸 |
ユーザーの追加 <134> 11月23日 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0です。15|2|adduser|5|username=admin desc=説明 json={ "user_id" : "8D7C450EDF6A- 0AB6-193D- 143BFC6F7CAC", "user_name" : "テスト.JATP」、「is_admin」:0、「has_debug」:1、「reset_password」:1} |
アップデートユーザー |
ユーザーの更新 |
監査 |
糸 |
アップデートユーザー <134> 11月23日 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0です。15|2|更新ユーザー|5|username=admin desc=説明 json={ "user_id" : "8D7C450EDF6A- 0AB6-193D- 143BFC6F7CAC", "user_name" : "テスト.JATP」、「is_admin」:0、「has_debug」:1、「reset_password」:1} |
アップデートシステムコンフィグ |
システム構成の更新 |
監査 |
糸 |
アップデートシステムコンフィグ <134>11月24日 14:35:48 tap0.eng.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0です。15|2|アップデート-システムコンフィグ|5|username=adm in desc=更新設定の更新: ソフトウェアの自動更新: 'yes'、ホスト名の設定: 'tap0'、server_fqdnの設定: 'tap0.eng.JATP.net'、ivp_formatの設定: 'application / zip'リモートシェルの有効化:はい json={ "do_auto_update" : 1, "hostname" : "tap0", "server_fqdn" : "tap0.eng.JATP.net", "ivp_format" : "application/zip", "remote_shell_enabled : 1 |
リブート |
リブート |
監査 |
糸 |
リブート <134> 11月23日 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0です。15|2|reboot|5|username =admin desc=description json={ "user_id" : "8D7C450EDF6A- 0AB6-193D- 143BFC6F7CAC", "user_name" : "テスト.JATP」、「is_admin」:0、「has_debug」:1、「reset_password」:1} |
アプライアンス接続ヘルス |
アプライアンス接続の正常性 |
監査 |
糸 |
アプライアンス接続ヘルス <134> 11月23日 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0です。15|2|アプライアンス接続ヘルス|5|username=adm in desc=description json={ "user_id" : "8D7C450E-DF6A-0AB6- 193D-143BFC6F7CAC", "user_name" : "テスト.JATP」、「is_admin」:0、「has_debug」:1、「reset_password」:1} |
リンク健全性 |
リンクの正常性 |
リンク健全性 <134> 11月23日 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0です。15|2|リンクヘルス|5|username=adm in desc=description json={ "user_id" : "8D7C450E-DF6A-0AB6- 193D-143BFC6F7CAC", "user_name" : "テスト.JATP」、「is_admin」:0、「has_debug」:1、「reset_password」:1} |
||
トラフィック健全性 |
トラフィックの状態 |
トラフィック健全性 <134> 11月23日 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0です。15|2|トラフィックヘルス|5|username=adm in desc=description json={ "user_id" : "8D7C450E-DF6A-0AB6- 193D-143BFC6F7CAC", "user_name" : "テスト.JATP」、「is_admin」:0、「has_debug」:1、「reset_password」:1} |
||
clear-db |
DBのクリア |
監査 |
糸 |
clear-db <134>11月24日 16:32:03 tap0.eng.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0です。15|2|cleardb|5|username=admin desc=イベントデータベースのクリア json={ "ステータス" : 0} |
restart-services |
サービスの再起動 |
監査 |
糸 |
restart-services <134>11月24日 14:37:07 tap54.eng.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0です。15|2|サービスの再起動|5|username=ad min desc=サービスの再起動 json={ "ステータス" : 0} |
レポートの追加 |
レポートを追加 |
監査 |
糸 |
レポートの追加 <134>11月24日 14:37:32 tap0.eng.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0です。15|2|レポートの追加|5|username=adm in desc=レポートの追加(id '300BF9F1-973B-4523- 8BEB-B82B70B78925') json={ "report_id" : "300BF9F1-973B-4523- 8BEB-B82B70B78925"} |
削除-レポート |
レポートの削除 |
監査 |
糸 |
削除-レポート <134>Nov 24 14:37:41 tap0.eng.JATP.netJATP JATP: CEF:0|JATP|Cortex|3.6.0です。15|2|レポートの削除|5|username=adm in desc=レポートの削除(id 'CF411F54-EB45-0C41- 654A-AFA1B9FF9DEB') json={ "report_id" : "CF411F54-EB45-0C41- 654A-AFA1B9FF9DEB"} |
追加通知 |
通知を追加 |
監査 |
糸 |
追加通知 <134>11月24日 14:35:04 tap0.eng.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0です。15|2|追加通知|5|username =admin desc=通知の追加(id 'AD5D3D6C-6A51-4BB5- 958A-A1B392D3DFDA') json={ "report_id" : "AD5D3D6C-6A51- 4BB5-958AA1B392D3DFDA"} |
削除通知 |
通知の削除 |
監査 |
糸 |
削除通知 <134>11月24日 14:38:13 tap0.eng.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0です。15|2|削除通知|5|ユーザー名 =admin desc=削除通知 (id '26EC53CA-B1A7-4DBAA111- 013CD2548FFD') json={ "report_id" : "26EC53CA-B1A7-4DBAA111- 013CD2548FFD"} |
add-siem |
SIEM の追加 |
監査 |
糸 |
add-siem <134>11月24日 14:29:08 tap0.eng.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0です。15|2|追加|5|username=admin desc=SIEMアップロードを'splunktest.英語。JATP.net' (id '768687F7-4A81-42AF- 897A-6814A48D4155') json={ "report_id" : "768687F7-4A81-42AF- 897A-6814A48D4155", "host_name": "splunktest. eng.JATP.net"} |
削除-siem |
SIEMの削除 |
監査 |
糸 |
削除-siem <134>11月24日 14:38:57 tap0.eng.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0です。15|2|削除SIEM|5|username=admin desc=Delete SIEM upload to '10.9.8.7' (id '8165C17F-F375-4226- 8E7A-BC8E690E3370') json={ "report_id" : "8165C17F-F375-4226- 8E7A-BC8E690E3370", "host_name": "10.9.8.7"} |
追加メールコレクター |
E メールコレクターを追加 |
監査 |
糸 |
追加メールコレクター <134>11月24日 14:39:35 tap0.eng.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0です。15|2|add-emailcollector|5|username=a dmin desc=「10.2.10.3」からメールコレクターを追加(id '5FB8FFDC-7024- 467A-8AC8- 6CD68CA8781D') json={ "report_id" : "5FB8FFDC- 7024-467A-8AC8- 6CD68CA8781D", "host_name": "10.2.10.3"} |
削除メールコレクター |
メールコレクターの削除 |
監査 |
糸 |
削除メールコレクター <134>11月24日 14:39:09 tap0.eng.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0です。15|2|delete-emailcollector|5|username=a dmin desc=「10.2.10.7」からメールコレクターを削除します(id '6C36F94A-3CF2- 45D8-83B9- CDF50BE0490B') json={ "report_id" : "6C36F94A-3CF2- 45D8-83B9- CDF50BE0490B", "host_name": "10.2.10.7"} |
DST= |
宛先IPアドレス dst は、検出エンジン内で外部ホストへの通信が観察された場合の宛先の IP アドレスを表します。 |
イベント |
IPv4 および IPv6 アドレス |
宛先= 128.12.38.6
手記:
注: これは、ユーザーがマルウェアをダウンロードしたIP アドレスである可能性もあります。この拡張機能は、感染のみに固有のものではありません。 |
lastActivityTime= |
このイベントに関連付けられた最後のアクティビティのタイム スタンプ。 |
イベント |
糸 1023 文字 |
lastActivityTime=2016- 12-26 18:06:52.333023+00 |
fileHash= |
fileHash は、Juniper ATP Appliance 検出エンジンからのマルウェア オブジェクトのチェックサムを表します |
イベント |
255 文字 |
filehash=3174990d783f4 a1bd5e99db60176b920 |
ファイル名= |
fileNameは、Juniper ATP Appliance検出エンジンによって分析されたオブジェクトファイルの名前を表します |
イベント |
255 文字 |
fileName=Trojan.Generic |
ファイルタイプ= |
fileType は、分析されたオブジェクトの種類を表します。 |
イベント |
255 文字 |
ファイルタイプ=pdf |
startTime= |
startTime は、Juniper ATP Appliance 検出システムにおける最初のマルウェア イベントの日時を表します。 |
出来事 |
糸 1023 文字 |
startTime=2016-08-11 18:22:19 |
malwareSeverity= |
0 から 10 の範囲の重大度リスク |
出来事 |
整数 |
malware重大度=0.75 |
malwareCategory= |
Juniper ATP Applianceのマルウェアカテゴリー判別 |
出来事 |
糸 1023 文字 |
malwareCategory= |
cncServers= |
このイベントに関連付けられた CnC サーバーの IP アドレス |
出来事 |
IPv4 および IPv6 アドレス |
cncServers = 31.170.165.131 |
submissionTime= |
CM Web UIからのユーザの[ファイル送信]オプションの日付と時刻 |
出来事 |
データ |
submissionTime=2016- 12-26 17:54:46.04875+00 |
src= |
このマルウェア イベントに関連付けられた送信元アドレス。 |
出来事 |
IPv4 および IPv6 アドレス |
src=64.202.116.124 |
DST= |
このマルウェア イベントに関連付けられた送信元アドレス。 |
出来事 |
IPv4 および IPv6 アドレス |
宛先=10.1.1.1 |
reqReferer= |
マルウェアエクスプロイトをトリガーした、またはマルウェアエクスプロイトが関連付けられているHTTPアドレスのURL |
出来事 |
URL (英語) |
reqReferer=http:// www.christianforums.com/ |
url= |
エクスプロイト マルウェア イベントに関連付けられた URL。 |
出来事 |
URL (英語) |
URLは= http:// 64.202.116.124/5butqfk/ ?2 |
ExternalId= |
Juniper ATP Applianceのインシデント番号。 例: externalId=1003 |
外部 ID |
Juniper ATP Applianceのインシデント番号。 |
例: externalId=1003 |
EventId= |
Juniper ATP ApplianceイベントID番号。 例: eventId=13405 |
イベント ID |
Juniper ATP ApplianceイベントID番号。 |
例: eventId=13405 |
ユーザー名= |
管理者またはユーザーのユーザー名 ユーザ名は、システム監査 syslog に含まれます。 |
出来事 |
糸 |
例: ユーザー名="s_roberts" |
ポート= |
イベントに関連付けられたポート番号 |
出来事 |
整数 |
ポート=22 |
プロトコル= |
イベントに関連付けられたプロトコル |
出来事 |
整数 |
プロトコル=HTTP |
アプライアンス接続ヘルス |
Web コレクターとセカンダリ コア間の接続状態。 |
健康 |
糸 |
<134> 11月23日 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0です。15|2|アプライアンス接続ヘルス|5|username=adm in desc=description json={ "user_id" : "8D7C450E-DF6A-0AB6- 193D-143BFC6F7CAC", "user_name" : "テスト.JATP」、「is_admin」:0、「has_debug」:1、「reset_password」:1} |
トラフィック健全性 |
トラフィックの状態 |
健康 |
糸 |
トラフィック健全性 <134> 11月23日 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0です。15|2|トラフィックヘルス|5|desc=説明 json={ "user_id" : "8D7C450E-DF6A-0AB6- 193D-143BFC6F7CAC", "user_name" : "テスト.JATP」、「is_admin」:0、「has_debug」:1、「reset_password」:1} |
リンク健全性 |
リンクの正常性 |
健康 |
糸 |
リンク健全性 <134> 11月23日 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0です。15|2|リンクヘルス|5|desc=説明 json={ "user_id" : "8D7C450E-DF6A-0AB6- 193D-143BFC6F7CAC", "user_name" : "テスト.JATP」、「is_admin」:0、「has_debug」:1、「reset_password」:1} |
サービス健全性 |
サービスの正常性 |
健康 |
糸 |
サービス健全性 <134> 11月23日 18:50:00 tap0.test.JATP.net JATP: CEF:0|JATP|Cortex|3.6.0です。15|2|サービスヘルス|5|desc=説明 json={ "user_id" : "8D7C450E-DF6A-0AB6- 193D-143BFC6F7CAC", "user_name" : "テスト.JATP」、「is_admin」:0、「has_debug」:1、「reset_password」:1} |
src_hostname |
脅威の送信元のホスト名。情報は Active Directory から取得されます (脅威ソースのホストの詳細が Active Directory から取得される SMB 水平方向検出に適用可能) |
出来事 |
糸 |
Dec 2 17:17:25 IP Dec 02 17:08:08 hostname CEF:0|JATP|Cortex|3.6.0です。1444|CNC|TROJAN_DUSV EXT.|10|externalId=1489 eventId=14046 lastActivityTime=2016- 05-03 00:08:08.349+00 src=31.170.165.131 dst=172.20.1.201 src_hostname= dst_hostname=emailuse r-host src_username= dst_username=emailuse r malwareSeverity=0.75 malwareCategory=Troja n_Generic cncServers = 31.170.165.131 |
dst_hostname |
エンドポイントのホスト名(脅威ターゲット)情報は Active Directory から取得されます |
出来事 |
糸 |
Dec 6 16:52:22 IP Dec 06 16:51:38 hostname CEF:0|JATP|Cortex|3.6.0です。1444|メールアドレス|フィッシング|8|e xternalId=1504 eventId=14067 lastActivityTime=2016- 12-06 23:51:38+00 src= dst= src_hostname= dst_hostname= src_username= dst_username=src_email_id=src@abc.com dst_email_id={test@abc.com} startTime=2016- 12-06 23:51:38+00 url=http:// greatfilesarey.asia/QA/ files_to_pcaps/ 74280968a4917da52b5 555351eeda969.bin fileHash=bce00351cfc55 9afec5beb90ea387b037 88e4af5 fileType=PE32 executable (GUI) Intel 80386、MS Windows用 |
src_username |
脅威の送信元ホストにログインしているユーザーのユーザー名。情報は Active Directory から取得されます (その場合にのみ、Active Directory から脅威ソースのホストの詳細を取得するため、水平方向の拡散に適用されます)。 |
出来事 |
糸 |
Dec 3 16:42:24 IP Dec 03 16:42:54 hostname CEF:0|JATP|Cortex|3.6.0です。1444|メールアドレス|フィッシング|8|e xternalId=1499 eventId=14058 lastActivityTime=2016- 05-03 23:42:54+00 src= dst= src_hostname= dst_hostname= src_username= dst_username=src_email_id=src@abc.com dst_email_id={test1@ab c.com,test2@abc.com,test3@abc.com,} url=http:/ /greatfilesarey.asia/QA/ fileType=PE32 実行可能ファイル (GUI) Intel 80386、MS Windows用 |
dst_username: 脅威ターゲットホストにログインしているユーザーのユーザー名。情報は Active Directory から取得されます。 |
Dec 3 16:42:24 IP Dec 03 16:42:54 hostname CEF:0|JATP|Cortex|3.6.0です。1444|メールアドレス|フィッシング|8|e xternalId=1499 eventId=14058 lastActivityTime=2016- 05-03 23:42:54+00 src= dst= src_hostname= dst_hostname= src_username= dst_username=src_email_id=src@abc.com dst_email_id={test1@ab c.com,test2@abc.com,test3@abc.com,} url=http:/ /greatfilesarey.asia/QA/ fileType=PE32 実行可能ファイル (GUI) Intel 80386、MS Windows用 |
|||
src_email_id |
メールの送信者のメール ID |
出来事 |
糸 |
Dec 3 16:42:24 IP Dec 03 16:42:54 hostname CEF:0|JATP|Cortex|3.6.0です。1444|メールアドレス|フィッシング|8|e xternalId=1499 eventId=14058 lastActivityTime=2016- 05-03 23:42:54+00 src_email_id=src@abc.com dst_email_id={test1@ab c.com,test2@ab c.com,test3@ab c.com,} startTime=2016-05-03 23:42:54+00 url=http:// greatfilesarey.asia/QA/ files_to_pcaps/ 74280968a4917da52b5 555351eeda969.bin fileType=PE32 実行可能ファイル (GUI) Intel 80386、MS Windows 用 |
dst_email_id |
受信者の電子メール ID |
出来事 |
糸 |
Dec 3 16:42:24 IP Dec 03 16:42:54 hostname CEF:0|JATP|Cortex|3.6.0です。1444|メールアドレス|フィッシング|8|e xternalId=1499 eventId=14058 lastActivityTime=2016- 05-03 23:42:54+00 src_email_id=src@abc.com dst_email_id={test1@ab c.com,test2@ab c.com,test3@ab c.com,} startTime=2016-05-03 23:42:54+00 url=http:// greatfilesarey.asia/QA/ files_to_pcaps/ 74280968a4917da52b5 555351eeda969.bin fileType=PE32 実行可能ファイル (GUI) Intel 80386、MS Windows 用 |
URL (英語) |
電子メールで送信された不正URL(CEF/Syslogでは、Juniper ATP Applianceが送信する不正URLの最大数は5で、文字スペースで区切られています) |
出来事 |
糸 |
Dec 3 16:42:24 IP Dec 03 16:42:54 hostname CEF:0|JATP|Cortex|3.6.0です。1444|メールアドレス|フィッシング|8|e xternalId=1499 eventId=14058 lastActivityTime=2016- 05-03 23:42:54+00 src_email_id=src@abc.com dst_email_id={test1@ab c.com,test2@ab c.com,test3@ab c.com,} startTime=2016-05-03 23:42:54+00 url=http:// greatfilesarey.asia/QA/ files_to_pcaps/ 74280968a4917da52b5 555351eeda969.bin fileType=PE32 実行可能ファイル (GUI) Intel 80386、MS Windows 用 |