関連トピック
APT Blocker のトラブルシューティング
着信ファイルは、セキュリティ サービスにより次の順序で処理されます:
ゲートウェイ AV > APT Blocker > データ損失防止
APT Blocker によるチェックは、Gateway AV スキャンによりファイルが許可された場合のみ発生します。データ損失防止アクションは、Gateway AV または APT Blocker がファイルを許可した場合のみ適用されます。
APT Blocker ファイル送信のトラブルシューティング
最初の検査時に、ファイルの MD5 ハッシュ チェックが行われます。以前に解析されたファイルに一致するものがない場合、そのファイルは Lastline データセンターに送信され、解析を受ける必要があります。
ファイルが正常に送信されると、参照のために タスク uuid が割り当てられ、以下のようにログ メッセージに含まれます:
Allow 2-Internal-traffic 4-External-traffic tcp 192.168.2.20 192.168.3.30 34063 80 msg="ProxyAllow: HTTP ファイルが APT 解析サーバーに送信されました" proxy_act="HTTP-Client.1" host="192.168.3.30" path="/test/sample.exe" md5="dd0af53fec2267757cd90d633acd549a" task_uuid="35c8ac1aaeee4e5186d584318deb397b" (HTTP-proxy-00)
ファイルが Lastline データセンターに送信され、脅威として特定されると、APT Blocker 通知が送信されたことを知らせるイベント ログが生成されます。
APT 脅威通知。詳細='ポリシー名: HTTPS-proxy-00 理由: 高レベルの APT 脅威が検出されました:Task_UUID: d09445005c3f4a9a9bb78c8cb34edc2a ソース IP: 10.0.1.2 ソース ポート: 43130 送信先 IP: 67.228.175.200 送信先ポート: 443 プロキシの種類: HTTP プロキシ ホスト: analysis.lastline.com パス: /docs/lastline-demo-sample.exe'
APT Blocker が脅威を検出すると、この種のログ メッセージが表示されます。ログ メッセージは、脅威レベル、脅威名、脅威クラス、悪質なアクティビティ、送信先ホスト名および URI パスを示します。
Deny 2-Internal-traffic 4-External-traffic tcp 192.168.2.20 192.168.3.30 48120 80 msg="ProxyDrop: HTTP APT が検出されました" proxy_act="HTTP-Client.1" host="192.168.3.30" path="/apt_sample.exe" md5="2e77cadb722944a3979571b444ed5183"
このタイプのログ メッセージは、ハッシュ ファイル チェックまたは Lastline へのアップロードによりファイルがスキャンされた結果、クリーンでマルウェアがないと判断された場合に表示されます。
Allow 2-Internal 0-External tcp 172.16.182.27 172.16.180.32 52816 80 msg="ProxyAllow: HTTP File reported safe from APT hash check" proxy_act="HTTP-Client.Standard.1" host="172.16.180.32" path="/VOD/5k_end.zip" md5="221f11af6a29be878ad54f164304f1f2" task_uuid="d1eb81f2519c466e93db4827167dd935" (HTTP-proxy-00)