このページの目次
署名の詳細
マルウェアシグネチャの詳細ページにアクセスするには、に移動します。
- >ファイルの監視>HTTPファイルのダウンロード
- >ファイル>電子メールの添付ファイルを監視する
- SMBファイルのダウンロード>>ファイルを監視する
「 署名 ID」 リンクをクリックして、「署名の詳細」ページに移動します。
[シグネチャの詳細] ページを使用して、マルウェア シグネチャの詳細を表示します。マルウェアのシグネチャは、Juniper ATP CloudによってSRXシリーズファイアウォールに提供されます。SRXシリーズファイアウォールがマルウェアファイルを検出すると、デバイスはこれらのマルウェアシグネチャとSRXシリーズファイアウォールで構成された高度なアンチマルウェア(AAMW)ポリシーに基づいて、ファイルを即座にブロックできます。マルウェアのシグネチャは、Juniper ATPクラウドにアップデートがあるたびにSRXシリーズファイアウォールと共有されます。SRXシリーズファイアウォールは、マルウェアシグネチャヒットごとに、マルウェアシグネチャヒットレポートをJuniper ATP Cloudに提供します。
このページは、いくつかのセクションに分かれています。
-
[誤検知を報告] - このボタンをクリックすると、ジュニパーネットワークスにレポートを送信する新しい画面が起動し、レポートが誤検知か偽陰性かを通知します。ジュニパーは報告書を調査しますが、この調査によって判断が変わることはありません。修正を行う(システムをクリーンとしてマークする)場合は、手動で行う必要があります。
-
脅威レベル:割り当てられた脅威レベル(0-10)です。このボックスには、シグネチャ ファイル名、脅威カテゴリ、実行された処理も表示されます。
-
蔓延—このマルウェアが見られた頻度、ファイルをダウンロードしたネットワーク上の個々のホストの数、使用されたプロトコルに関する情報を提供します。
| フィールド | の説明 |
|---|---|
| 全般 | 関連ファイルの署名情報を表示します。 |
| 静的分析 | 署名に関連付けられているファイルの種類またはファイル ソースに関する情報を表示します。サポートされているファイルの種類は、PE / DLL、doc、docxオフィス-古い形式、オフィス-新しい形式、ポータブルドキュメント形式、RTFです。 |
| 行動分析 | シグニチャに関連付けられたファイルの動作分析を表示します。 |
| ネットワークアクティビティ | シグニチャに関連付けられているファイルのネットワーク アクティビティを表示します |
| 動作の詳細 | 署名に関連付けられているファイルの動作データを表示します |
署名の概要
[全般] タブには、署名に関連付けられているファイルの詳細が表示されます。このファイルは、ネットワークで表示される正確なファイルではない可能性があることに注意してください。これは、ファイルがトリガーした署名の生成に使用されるファイルです。詳細には、ファイル カテゴリ、署名が作成されたタイムスタンプ、署名がヒットした頻度に関する統計、署名の現在の状態 (有効/無効) などが含まれます。
| 畑 |
定義 |
|---|---|
| 地位 | |
| 脅威レベル |
これは、割り当てられた脅威レベル0-10です。10は最も悪質です。 |
| 世界の有病率 |
このファイルがさまざまな顧客で確認された頻度。 |
| 最終スキャン |
不審なファイルを最後に検出した日時 |
| 署名情報 | |
| プラットホーム | ファイルのターゲット OS。例: Win32 |
| 濾す | 可能な場合、ジュニパーATPクラウドが、検知されたマルウェアの系統を判断します。例: Outbrowse.1198、Visicom.E、Flystudio |
| マルウェア名 |
可能な場合、Juniper ATP Cloudがマルウェアの名前を特定します。 |
| 種類 |
可能な場合は、ジュニパーATPクラウドが脅威の種類を判断します。例:トロイの木馬、アプリケーション、アドウェア |
| カテゴリ |
可能な場合、ジュニパーATPクラウドが脅威のカテゴリーを判断します。 |
| その他の詳細 | |
| SHA256 および MD5 |
ファイルがマルウェアかどうかを判断する 1 つの方法は、ファイルのチェックサムを計算し、そのファイルが以前にマルウェアとして識別されたかどうかを照会することです。 |
| 生成されたタイムスタンプ | 署名が生成された時刻。 |
| 地位 | 署名の現在の状態 (有効/無効) |
HTTPダウンロード
このセクションには、不審なファイルをダウンロードしたホストのリストが表示されます。このホストの [ホストの詳細] ページに移動する IP アドレス をクリックします。 デバイスのシリアル番号 をクリックして、[デバイス] ページに移動します。そこから、プロファイル、許可リスト、ブロックリストのバージョンなど、Juniper ATP Cloud設定のデバイスバージョンとバージョン番号を確認できます。デバイスのマルウェア検出の接続の種類 (テレメトリ、送信、または C&C イベント) を表示することもできます。
静的分析
Juniper ATP Cloudは、静的分析と機械学習を利用して、悪意のあるファイルかどうかを判断します。
行動分析
Juniper ATP Cloudは、ネットワークの動作分析と機械学習を使用して、さまざまなホストへの接続を含め、サンプルの動作を分析します。ただし、分析は主にサンドボックス化されたサンプル分析用であり、接続分析用ではありません。
[挙動分析]タブには、ファイル実行挙動の傾向がレーダーチャートで表示され、各軸にマルウェアのカテゴリまたは挙動が表示されます。このデータは、マルウェアのカテゴリをより適切に識別し、そのカテゴリを重大度にマッピングするのに役立ちます。
マルウェアの優先度は、低、中、高に分類されます。
| 行動カテゴリ |
動作定義の例 |
|---|---|
| ターゲット |
ボリューム情報をチェック |
| きめ細かな動作 |
デバイス ドライバーと通信するためのコードが含まれています。 サービスを削除するコードが含まれています。 システム DLL 範囲で割り当てられたメモリ |
| 難読 化 |
既知のコード難読化技術を利用します。 |
| 忌避 |
VM を検出するコードが含まれています。 大量の未使用のコードが含まれています (難読化されたコードである可能性があります)。 実行時に API 呼び出しを決定するコードが含まれています。 |
| 固執 |
起動時にアプリケーションを実行するようにレジストリ キーを変更します。 |
| ネットワーキング |
メモリまたはバイナリにインターネットアドレスが含まれています。 |
ネットワークアクティビティ
[ネットワークアクティビティ]セクションでは、次のタブで情報を表示できます。
-
[接続したドメイン] - 利用可能な場合、Juniper ATP Cloud サンドボックス内のファイルの実行中に接続したドメインが一覧表示されます。
-
[接続された IP] - 使用可能な場合、ファイルの実行中に接続したすべての IP が、宛先 IP の国、ASN、レピュテーションとともに一覧表示されます。レピュテーションフィールドは、ジュニパーのIPインテリジェンスデータの送信先に基づいています。
-
DNS アクティビティ—このタブには、外部で接続したサーバーのドメイン名を見つけるための逆引き参照など、ファイルの実行中の DNS アクティビティが一覧表示されます。このタブには、移行先サーバーの既知の評価も表示されます。
動作の詳細
このセクションには、署名に関連付けられているファイルの動作データが表示されます。
