Se aplica a: Fireboxes administrados en la nube, Fireboxes administrados localmente
El informe de Malware de Día Cero (APT) muestra un resumen de todas las amenazas identificadas por APT Blocker como malware de día cero (no identificadas hasta después de que el tráfico pasa a través del firewall).
Cuando APT Blocker encuentra un archivo que no vio ni analizado anteriormente, lo envía al centro de datos para su análisis en un entorno de caja de arena. Para servidores proxy que no sean SMTP e IMAP, la conexión se permite mientras el dispositivo espera el resultado del análisis. Cuando se devuelve el resultado, si hay evidencia de actividad de malware en el archivo, el dispositivo genera un mensaje de registro y el archivo aparecerá en el informe de Malware de Día Cero (APT).
Este informe está disponible cuando existen mensajes de registro con datos para este informe en el periodo de tiempo especificado. Para asegurarse de que su Firebox envíe los mensajes de registro requeridos para generar este informe, siga los pasos para Habilitar la Generación de Registros para este Informe.
Cómo Usar este Informe
Este informe puede mostrarle el malware de día cero descargado por usuarios en su red. Estas son algunas formas de usar este informe:
- Haga clic para Ver los Detalles de todo el malware de día cero descargado, y usar la información para identificar y responder a las amenazas.
- Seleccione la dinámica Destinatario/Destino para identificar a los destinatarios de los archivos de malware de día cero.
- Seleccione las dinámicas Nombre del Contenido o ID de Amenaza para ver los nombres de los archivos que APT Blocker identificó como malware de día cero.
- Seleccione la dinámica Actividad Maliciosa para ver los comportamientos maliciosos asociados con el malware de día cero.
Ver el Informe
Este informe está disponible en WatchGuard Cloud y en Dimension.
- Inicie sesión en WatchGuard Cloud.
- Seleccione Monitorizar > Dispositivos.
- Seleccione una carpeta o un dispositivo específico.
- Para seleccionar el intervalo de fechas del informe, haga clic en
.
- En la lista de informes, seleccione Servicios > Malware de Día Cero (APT).
Se abre el informe de Malware de Día Cero (APT).
- Para ver los informes para sus Firebox o FireCluster, seleccione Inicio > Dispositivos.
Se abre la lista Dispositivos.
Para ver los informes para sus grupos de Firebox, seleccione Inicio > Grupos.
Se abre la lista Grupos. - Seleccione el Nombre de un Firebox, clúster o grupo.
Se abre la página Herramientas > Panel de Control Ejecutivo. - Seleccione la pestaña Informes.
- Seleccione Servicios > Malware de Día Cero (APT).
Se abre el informe de Malware de Día Cero (APT).
Dinámicas
Puede usar dinámicas para cambiar la vista de los datos en el informe.
Para cambiar a una vista diferente, seleccione una dinámica de la lista desplegable sobre el informe.
Este informe incluye estas dinámicas:
Nombre del Contenido
Resumen del malware identificado como Malware de Día Cero por APT Blocker, organizado por nombre de contenido.
Actividad Maliciosa
Resumen de la actividad maliciosa en su red que fue identificada como malware de día cero por APT Blocker.
Destinatario/Destino
Resumen de los nombres de los destinatarios y las direcciones de destino para la actividad en su red identificada como malware de día cero por APT Blocker.
Identificación de la amenaza
Resumen del malware identificado como malware de día cero por APT Blocker, organizado por la Identificación de Amenazas.
Nivel de Amenaza
Resumen de los niveles de amenaza asignados a la actividad en su red que fue identificada como malware de día cero por APT Blocker.
Vista Detallada
Para ver un informe detallado de las amenazas identificadas por APT Blocker como malware de día cero después de que el tráfico pasó a través del firewall, haga clic en Ver los Detalles en la parte superior del informe.
El informe Detalles de Malware de Día Cero (APT) incluye una fila para cada instancia de malware de día cero identificado y muestra esta información:
| Columna | Descripción |
|---|---|
| Disposición | Acción que toma el Firebox para este tráfico, por ejemplo, Extraído o Permitido |
| Tiempo | Fecha y hora en que ocurrió el evento |
| Nivel de Amenaza | Gravedad de la amenaza (Alta, Media o Baja) |
| Identificación de la amenaza | El número de identificación asignado a la amenaza |
| Nombre del Contenido | El nombre del archivo que incluyó la amenaza |
| Origen | Dirección IP del origen del tráfico |
| Destino | Dirección IP del destino del tráfico |
| Política | Nombre de la política del Firebox que examinó el tráfico |
| Protocolo | Protocolo utilizado para enviar el tráfico |
| Host | Nombre de host utilizado para enviar el tráfico |
| Remitente | Para los protocolos SMTP, POP3 o IMAP, la dirección que envió el correo electrónico |
| Destinatario | Para los protocolos SMTP, POP3 o IMAP, la dirección a la que se envió el correo electrónico |
| Accesos | Número de intentos |
| Más Información | Para ver información más detallada (incluye información MD5 y de Nivel de Amenaza), haga clic en Detalles de Amenaza. |
Habilitar la Generación de Registros para este Informe
Para recopilar los datos requeridos para este informe:
- En los Ajustes Generales para todas las acciones de proxy que tienen APT Blocker habilitado, seleccione Habilitar generación de registros para informes.
- En todas las Acciones de APT Blocker, marque las casillas de selección Registro para los niveles de amenaza que desea incluir en el informe. Para obtener más información, consulte Configurar APT Blocker.