Gilt für: Cloud-verwaltete Fireboxen, Lokal verwaltete Fireboxen
Der Zero-Day-Malware (APT)-Bericht zeigt eine Zusammenfassung aller Bedrohungen, die von APT Blocker als Zero-day-Malware identifiziert wurden (sie wurden erst identifiziert, nachdem der Datenverkehr die Firewall passiert hatte).
Wenn APT Blocker auf eine Datei stößt, die er noch nicht angezeigt oder analysiert hat, sendet er die Datei zur Analyse in einer Sandbox-Umgebung an das Rechenzentrum. Für andere Proxys als die SMTP- und IMAP-Proxys wird die Verbindung zugelassen, während das Gerät auf das Ergebnis der Analyse wartet. Wenn das Ergebnis zurückgegeben wird und es Beweise für Malware-Aktivitäten in der Datei gibt, generiert das Gerät eine Protokollmeldung, und die Datei wird im Zero-Day-Malware (APT)-Bericht aufgeführt.
Dieser Bericht ist verfügbar, wenn im angegebenen Zeitrahmen Protokollmeldungen mit Daten für diesen Bericht vorliegen. Um sicherzustellen, dass Ihre Firebox die für die Erstellung dieses Berichts erforderlichen Protokollmeldungen sendet, führen Sie die folgenden Schritte aus: Protokollierung für diesen Bericht aktivieren.
Nutzung dieses Berichts
Dieser Bericht zeigt Ihnen die Zero-day-Malware, die von Benutzern in Ihrem Netzwerk heruntergeladen wurde. Hier finden Sie einige Möglichkeiten zur Verwendung dieses Berichts:
- Klicken Sie auf Details anzeigen, um die Details aller heruntergeladenen Zero-day-Malware anzuzeigen und die Informationen zu nutzen, um die Bedrohungen zu identifizieren und darauf zu reagieren.
- Wählen Sie den Wechsel Empfänger/Ziel, um die Empfänger von Zero-day-Malware-Dateien zu identifizieren.
- Wählen Sie die Wechsel Inhaltsname oder Bedrohungs-ID, um die Namen der Dateien anzuzeigen, die APT Blocker als Zero-day-Malware identifiziert hat.
Anzeigen des Berichts
Dieser Bericht ist in WatchGuard Cloud und in Dimension verfügbar.
- Melden Sie sich bei WatchGuard Cloud an.
- Wählen Sie Überwachen > Geräte.
- Wählen Sie einen Ordner oder ein bestimmtes Gerät aus.
- Um den Datumsbereich für den Bericht auszuwählen, klicken Sie auf
.
- Wählen Sie in der Liste der Berichte Dienste > Zero-Day-Malware (APT).
Der Zero-Day-Malware (APT)-Bericht wird geöffnet.
- Um Berichte zu Ihren Fireboxen oder FireClustern anzuzeigen, wählen Sie Home > Geräte.
Die Liste Geräte wird geöffnet.
Um Berichte für Ihre Gruppen von Fireboxen anzuzeigen, wählen Sie Home > Gruppen.
Die Liste Gruppen wird geöffnet. - Wählen Sie den Namen einer Firebox, eines Clusters oder einer Gruppe.
Die Seite Tools > Executive-Dashboard wird geöffnet. - Wählen Sie die Registerkarte Berichte.
- Wählen Sie Dienste > Zero-Day-Malware (APT).
Der Zero-Day-Malware (APT)-Bericht wird geöffnet.
Wechsel
Mit Hilfe von Wechseln können Sie die Anzeige der Daten im Bericht ändern.
Um zu einer anderen Ansicht zu wechseln, wählen Sie einen Wechsel aus der Dropdown-Liste oberhalb des Berichts.
Dieser Bericht enthält diese Wechsel:
Inhaltsname
Zusammenfassung der Malware, die von APT Blocker als Zero-Day-Malware identifiziert wurde, sortiert nach Name des Inhalts.
Empfänger/Ziel
Zusammenfassung der Empfängernamen und Zieladressen für Aktivitäten in Ihrem Netzwerk, die von APT Blocker als Zero-day-Malware identifiziert wurden.
Bedrohungs-ID
Zusammenfassung der von APT Blocker als Zero-day-Malware identifizierten Malware, geordnet nach der Bedrohungs-ID.
Bedrohungslevel
Zusammenfassung der Bedrohungslevel, die den Aktivitäten in Ihrem Netzwerk zugewiesen wurden, die von APT Blocker als Zero-day-Malware identifiziert wurden.
Zero-Day-Malware (APT)-Bericht – Detailansicht
Um einen detaillierten Bericht über Bedrohungen anzuzeigen, die von APT Blocker als Zero-day-Malware identifiziert wurden, nachdem der Datenverkehr die Firewall passiert hat, klicken Sie am oberen Rand des Berichts auf Details anzeigen.
Der Detailbericht zu Zero-Day-Malware (APT) enthält eine Zeile für jede identifizierte Zero-day-Malware und zeigt diese Informationen an:
| Spalte | Beschreibung |
|---|---|
| Status | Von der Firebox für diesen Datenverkehr ergriffene Aktionen, z. B. Stripped oder Zugelassen |
| Zeit | Datum und Zeit, zu der das Ereignis eingetreten ist |
| Bedrohungslevel | Schweregrad der Bedrohung (hoch, mittel oder niedrig) |
| Bedrohungs-ID | Der Bedrohung zugewiesene Identifikationsnummer |
| Inhaltsname | Name der Datei oder des Inhalts, der die Bedrohung enthält |
| Quelle | IP-Adresse der Quelle des Datenverkehrs |
| Ziel | IP-Adresse des Ziels für den Datenverkehr |
| Regel | Name der Firebox-Regel, die den Datenverkehr untersucht hat |
| Protokoll | Protokoll zum Senden des Datenverkehrs |
| Host | Hostname, der den Datenverkehr gesendet hat |
| Absender | Bei einem SMTP-, POP3- oder IMAP-Protokoll die E-Mail-Adresse, von der die E-Mail gesendet wurde |
| Empfänger | Bei einem SMTP-, POP3- oder IMAP-Protokoll die E-Mail-Adresse, an die die E-Mail gesendet wurde |
| Treffer | Anzahl der Versuche |
| Mehr Informationen | Um detailliertere Informationen (einschließlich MD5 und Bedrohungslevel) anzuzeigen, klicken Sie auf Bedrohungsdetails. |
Protokollierung für diesen Bericht aktivieren
Die Protokollierung für Cloud-verwaltete Fireboxen ist automatisch aktiviert. Für lokal verwaltete Fireboxen müssen Sie die Protokollierung in Fireware Web UI oder Policy Manager manuell aktivieren. Weitere Informationen erhalten Sie in Präferenzen für Protokollierung und Benachrichtigung festlegen.
Um die für diesen Bericht für lokal verwaltete Fireboxen benötigten Daten zu erfassen, gehen Sie in Fireware Web UI oder Policy Manager wie folgt vor:
- Aktivieren Sie in den Allgemeinen Einstellungen für alle Proxy-Aktionen, bei denen APT Blocker aktiviert ist, Protokollierung für Berichte aktivieren.
- Aktivieren Sie in allen APT Blocker-Aktionen das Kontrollkästchen Protokollierung für alle Bedrohungslevel, die im Bericht vorkommen sollen. Weitere Informationen finden Sie unter APT Blocker konfigurieren.