Gilt für: Cloud-verwaltete Fireboxen, Lokal verwaltete Fireboxen
Der Advanced Malware (APT)-Bericht zeigt eine Zusammenfassung der Malware und böswilligen Aktivitäten in Ihrem Netzwerk, die von APT Blocker erkannt wurden.
Dieser Bericht ist verfügbar, wenn im angegebenen Zeitrahmen Protokollmeldungen mit Daten für diesen Bericht vorliegen. Um sicherzustellen, dass Ihre Firebox die für die Erstellung dieses Berichts erforderlichen Protokollmeldungen sendet, führen Sie die folgenden Schritte aus: Protokollierung für diesen Bericht aktivieren.
Nutzung dieses Berichts
Dieser Bericht zeigt Ihnen die Top-Instanzen von Malware, die von Benutzern in Ihrem Netzwerk heruntergeladen wurden. Hier finden Sie einige Möglichkeiten zur Verwendung dieses Berichts:
- Wählen Sie die Wechsel Empfänger/Ziel und Absender/Quelle, um den Absender und den Empfänger bösartiger Dateien sowie die Quelle und das Ziel der Verbindung zu ermitteln.
- Wählen Sie die Wechsel Protokolle und MIME-Typ, um die Protokolle und Dateitypen zu ermitteln, mit denen böswillige Dateien in Ihr Netzwerk eingeschleust werden.
- Wählen Sie den Wechsel Aktivitätstrend, um die Malware-Aktivität im Laufe der Zeit anzuzeigen.
- Wählen Sie den Wechsel Inhaltsname, um die Namen der Dateien anzuzeigen, die von APT Blocker als bösartig identifiziert wurden, und um Fehlersuche bei Dateien zu betreiben, die Fehlalarme verursachen. Fügen Sie Dateien, zu Fehlalarmen führen, zur Liste der Dateiausnahmen hinzu.
Anzeigen des Berichts
Dieser Bericht ist in WatchGuard Cloud und in Dimension verfügbar.
- Melden Sie sich bei WatchGuard Cloud an.
- Wählen Sie Überwachen > Geräte.
- Wählen Sie einen Ordner oder ein bestimmtes Gerät aus.
- Um den Datumsbereich für den Bericht auszuwählen, klicken Sie auf
.
- Wählen Sie in der Liste der Berichte Dienste > Advanced Malware (APT).
Der Advanced Malware (APT)-Bericht wird geöffnet.
- Um Berichte zu Ihren Fireboxen oder FireClustern anzuzeigen, wählen Sie Home > Geräte.
Die Liste Geräte wird geöffnet.
Um Berichte für Ihre Gruppen von Fireboxen anzuzeigen, wählen Sie Home > Gruppen.
Die Liste Gruppen wird geöffnet. - Wählen Sie den Namen einer Firebox, eines Clusters oder einer Gruppe.
Die Seite Tools > Executive-Dashboard wird geöffnet. - Wählen Sie die Registerkarte Berichte.
- Wählen Sie Dienste > Advanced Malware (APT).
Der Advanced Malware (APT)-Bericht wird geöffnet.
Wechsel
Mit Hilfe von Wechseln können Sie die Anzeige der Daten im Bericht ändern.
Um zu einer anderen Ansicht zu wechseln, wählen Sie einen Wechsel aus der Dropdown-Liste oberhalb des Berichts.
Dieser Bericht enthält diese Wechsel:
Aktivitätstrend
Zusammenfassender Bericht über die Entwicklung der von APT Blocker erkannten Malware im Laufe der Zeit.
Inhaltsname
Zusammenfassung der von APT Blocker erkannten Malware, sortiert nach Name des Inhalts. Beinhaltet zugelassene und abgelehnte Treffer.
MIME-Typ
Zusammenfassung der MIME-Typen, die für böswillige Aktivitäten verwendet werden, die in Ihrem Netzwerk von APT Blocker erkannt wurden.
Protokoll
Zusammenfassung der Protokolle, die für böswillige Aktivitäten verwendet werden, die von APT Blocker in Ihrem Netzwerk erkannt wurden.
Empfänger/Ziel
Zusammenfassung der Empfängernamen und Zieladressen für böswillige Aktivitäten in Ihrem Netzwerk.
Absender/Quelle
Zusammenfassung der Absendernamen und Quelladressen für böswillige Aktivitäten in Ihrem Netzwerk.
Bedrohungs-ID
Zusammenfassung der von APT Blocker erkannten Malware, geordnet nach der Bedrohungs-ID.
Bedrohungslevel
Zusammenfassung der Bedrohungslevel, die den böswilligen Aktivitäten in Ihrem Netzwerk zugewiesen wurden.
Advanced Malware (APT)-Bericht – Detailansicht
Um einen detaillierten Bericht über alle von APT Blocker erkannten böswilligen Aktivitäten anzuzeigen, klicken Sie am oberen Rand des Berichts auf Details anzeigen.
Der Detailbericht zu Advanced Malware (APT) enthält eine Zeile für jede vom APT Blocker erkannte böswillige Aktivität:
| Spalte | Beschreibung |
|---|---|
| Status | Von der Firebox für diesen Datenverkehr ergriffene Aktionen, z. B. Stripped oder Zugelassen |
| Zeit | Datum und Zeit, zu der das Ereignis eingetreten ist |
| Bedrohungslevel | Schweregrad der Bedrohung (hoch, mittel oder niedrig) |
| Bedrohungs-ID | Der Bedrohung zugewiesene Identifikationsnummer |
| Inhaltsname | Name der Datei oder des Inhalts, der die Bedrohung enthält |
| Quelle | IP-Adresse der Quelle des Datenverkehrs |
| Ziel | IP-Adresse des Ziels für den Datenverkehr |
| Regel | Name der Firebox-Regel, die den Datenverkehr untersucht hat |
| Protokoll | Protokoll zum Senden des Datenverkehrs |
| Host | Hostname, der den Datenverkehr gesendet hat |
| Absender | Bei einem SMTP-, POP3- oder IMAP-Protokoll die E-Mail-Adresse, von der die E-Mail gesendet wurde |
| Empfänger | Bei einem SMTP-, POP3- oder IMAP-Protokoll die E-Mail-Adresse, an die die E-Mail gesendet wurde |
| Treffer | Anzahl der Versuche |
| Mehr Informationen | Um detailliertere Informationen (einschließlich MD5 und Bedrohungslevel) anzuzeigen, klicken Sie auf Bedrohungsdetails. |
Protokollierung für diesen Bericht aktivieren
Die Protokollierung für Cloud-verwaltete Fireboxen ist automatisch aktiviert. Für lokal verwaltete Fireboxen müssen Sie die Protokollierung in Fireware Web UI oder Policy Manager manuell aktivieren. Weitere Informationen erhalten Sie in Präferenzen für Protokollierung und Benachrichtigung festlegen.
Um die für diesen Bericht für lokal verwaltete Fireboxen benötigten Daten zu erfassen, gehen Sie in Fireware Web UI oder Policy Manager wie folgt vor:
- Aktivieren Sie in den Allgemeinen Einstellungen für alle Proxy-Aktionen, bei denen APT Blocker aktiviert ist, Protokollierung für Berichte aktivieren.
- Aktivieren Sie in allen APT Blocker-Aktionen das Kontrollkästchen Protokollierung für alle Bedrohungslevel, die im Bericht vorkommen sollen. Weitere Informationen finden Sie unter APT Blocker konfigurieren.