このページの目次
HTTPファイルのダウンロードの詳細
このページにアクセスするには、[> ファイルの監視] > [HTTP ファイルのダウンロード] に移動します。[署名 ID] リンクをクリックして、[ファイル ダウンロードの詳細] ページに移動します。
このページを使用して、ダウンロードしたファイルの一般、静的分析、動作分析、ネットワーク アクティビティ、およびマルウェア動作の概要を表示します。このページは、いくつかのセクションに分かれています。
| ボタン/リンク |
目的 |
|---|---|
| 誤検知の報告 |
このボタンをクリックすると、新しい画面が開き、ジュニパーネットワークスにレポートを送信して、誤った立場または偽陰性をジュニパーに通知できます。ジュニパーは報告書を調査しますが、この調査によって判断が変わることはありません。修正を行う(システムをクリーンとしてマークする)場合は、手動で行う必要があります。 |
| STIXレポートをダウンロード |
利用可能なSTIXレポートがある場合は、このページにダウンロードリンクが表示されます。リンクをクリックすると、ブロックリストに登録されたファイル、アドレス、URL など、収集されたオープンソースの脅威情報が表示されます。 STIX(Structured Threat Information eXpression)は、TAXII(Trusted Automated eXchange of Indicator Information)を使用して脅威情報を報告および共有するために使用される言語です。TAXIIは、当事者間で脅威情報をHTTPSで通信するためのプロトコルです。 STIXとTAXIIは、脅威情報の自動交換を支援する仕様のオープンなコミュニティ主導の取り組みです。これにより、脅威情報を標準化された形式で表現し、共有および使用できます。ジュニパーATPクラウドは、この情報と他のソースの両方を使用します。これは自動的に行われます。STIX に必要な管理者構成はありません。 STIXレポートは異なります。このページの下部にあるサンプル レポートを表示します。
手記:
Juniper ATP Cloudは、脅威インテリジェンスを共有することもできます。[脅威の共有] ページから、共有する脅威情報を制御できます。 脅威インテリジェンス共有の設定を参照してください。 |
| zip ファイルをダウンロードする |
(利用可能な場合)このリンクをクリックして、隔離されたマルウェアを分析用にダウンロードします。このリンクを使用すると、マルウェアを含むパスワードで保護されたzipファイルをダウンロードできます。zip ファイルのパスワードは、問題のファイルの Juniper ATP Cloud UI の 全般 タブに表示されるマルウェア exe ファイルの SHA256 ハッシュ(長さ 64 文字、英数字の文字列)です。 |
| PDFレポートをダウンロード |
このリンクをクリックして、問題のファイルに関する詳細なレポートをダウンロードしてください。このレポートには、ファイルの脅威レベル、確認されたプロトコル、ファイルのカテゴリとサイズ、クライアントのIPアドレスとユーザー名、および利用可能な場合はより多くの情報が含まれます。このデータは、目次付きの書式設定されたポータブル ドキュメント形式で提供されます。 |
ページの上部には、次の情報の概要が表示されます (UI を右にスクロールすると、その他のボックスが表示されます)。
-
脅威レベル:割り当てられた脅威レベル(0-10)で、このボックスにはファイル名と脅威カテゴリも表示されます。
-
上位インジケータ:このボックスには、マルウェア名、一致するシグネチャ、ウイルス対策の状態、およびファイルの送信元の IP アドレス/URL が表示されます。
-
[流行] - このボックスには、このマルウェアが見られた頻度、ファイルをダウンロードしたネットワーク上のホストの数、使用したプロトコルに関する情報が表示されます。
ファイルの概要
| 畑 |
定義 |
|---|---|
| 脅威レベル |
これは、割り当てられた脅威レベル0-10です。10は最も悪質です。 |
| 世界の有病率 |
このファイルがさまざまな顧客で確認された頻度。 |
| 最終スキャン |
不審なファイルを最後に検出した日時 |
| ファイル名 |
疑わしいファイルの名前。例: unzipper-setup.exe、20160223158005.exe、wordmui.msi。 |
| カテゴリ |
ファイルの種類。例: PDF、実行可能ファイル、ドキュメント。 |
| 大きさ |
ダウンロードしたファイルのサイズ。 |
| プラットホーム |
ファイルのターゲット オペレーティング システム。例。ウィン32 |
| マルウェア名 |
可能な場合、Juniper ATP Cloudがマルウェアの名前を特定します。 |
| 種類 |
可能な場合は、ジュニパーATPクラウドが脅威の種類を判断します。例:トロイの木馬、アプリケーション、アドウェア。 |
| 濾す |
可能な場合、ジュニパーATPクラウドが、検知されたマルウェアの系統を判断します。例:Outbrowse.1198、Visicom.E、Flystudio。 |
| SHA256 および MD5 |
ファイルがマルウェアかどうかを判断する 1 つの方法は、ファイルのチェックサムを計算し、そのファイルが以前にマルウェアとして識別されたかどうかを照会することです。 |
静的分析
Juniper ATP Cloudでは、ドキュメントタイプ、証明書の詳細、署名者情報などの静的ファイル情報を提供し、潜在的なサンプル機能を説明することができます。
行動分析
Juniper ATP Cloudは、ネットワークの動作分析と機械学習を提供し、暗号化された接続または暗号化されていない接続が無害または悪意のある接続かどうかを判断します。SSLプロキシは、検出のためにトラフィックを復号化するために必要であることに注意してください。
[挙動分析]タブには、ファイル実行挙動の傾向がレーダーチャートで表示され、各軸にマルウェアのカテゴリまたは挙動が表示されます。このデータは、マルウェアのカテゴリをより適切に識別し、そのカテゴリを重大度にマッピングするのに役立ちます。
マルウェアの優先度は、低、中、高に分類されます。
図2の左側のレーダーチャートには、前述のマルウェアタイプのいずれかに属するサンプルの確率が含まれています。形状は、1つの特定のマルウェアタイプ(この場合はトロイの木馬)を指しています。これは、サンプルのマルウェアの種類がトロイの木馬である可能性が高いことを示しています。このグラフ図 2 は、サンドボックス化後に悪意のある可能性のあるサンプルには存在しない可能性があることに注意してください。グラフでは、緑はそのカテゴリでクリーンであることを示し、オレンジはそのカテゴリで疑わしいことを示し、赤はそのカテゴリの悪意のあるマルウェアを示します。
| 行動カテゴリ |
動作定義の例 |
|---|---|
| ターゲット |
ボリューム情報を確認します。 |
| きめ細かな動作 |
デバイス ドライバーと通信するためのコードが含まれています。 サービスを削除するコードが含まれています。 システム DLL 範囲で割り当てられたメモリ。 |
| 難読 化 |
既知のコード難読化技術を利用します。 |
| 忌避 |
VM を検出するコードが含まれています。 大量の未使用のコードが含まれています (難読化されたコードである可能性があります)。 実行時に API 呼び出しを決定するコードが含まれています。 |
| 固執 |
起動時にアプリケーションを実行するようにレジストリ キーを変更します。 |
| ネットワーキング |
メモリーまたはバイナリーにインターネット・アドレスが含まれています。 |
HTTPダウンロード
このセクションには、不審なファイルをダウンロードしたホストのリストが表示されます。このホストの [ホストの詳細] ページに移動する IP アドレス をクリックします。 デバイスのシリアル番号 をクリックして、[デバイス] ページに移動します。そこから、プロファイル、許可リスト、ブロックリストのバージョンなど、Juniper ATP Cloud設定のデバイスバージョンとバージョン番号を確認できます。デバイスのマルウェア検出の接続の種類 (テレメトリ、送信、または C&C イベント) を表示することもできます。
ネットワークアクティビティ
[ネットワークアクティビティ]セクションでは、次のタブで情報を表示できます。
-
[接続したドメイン] - 利用可能な場合、Juniper ATP Cloud サンドボックス内のファイルの実行中に接続したドメインが一覧表示されます。
-
[接続された IP] - 使用可能な場合、ファイルの実行中に接続したすべての IP が、宛先 IP の国、ASN、レピュテーションとともに一覧表示されます。レピュテーションフィールドは、ジュニパーのIPインテリジェンスデータの送信先に基づいています。
-
DNS アクティビティ—このタブには、外部で接続したサーバーのドメイン名を見つけるための逆引き参照など、ファイルの実行中の DNS アクティビティが一覧表示されます。このタブには、移行先サーバーの既知の評価も表示されます。
STIXレポートのサンプル
