Champs spécifiques au journal « l_sandboxing »

Les champs décrits ci-dessous sont présentés au sein de l'interface Web d'administration du firewall dans le module Sandboxing du menu Journaux d'audit > Journaux et dans les vues Tous les journaux et Analyse sandboxing du menu Journaux d'audit > Vues.

hash

Résultat du hachage du contenu du fichier (méthode SHA2)

Chaîne de caractères au format UTF-8.

Exemple: « f4d1be410a6102b9ae7d1c32612bed4f12158df3cd1ab6440a9ac0cad417446d »

Hash

sandboxinglevel

Indique sur une échelle de 0 à 100 le niveau d'infection du fichier.

Valeur de : « 0 » (clean) à « 100 » (malicious).

Score sandboxing

sandboxing

Classification du fichier selon l'option sandboxing.

Valeur: « clean », « suspicious », « malicious », « unknown », «forward », « failed ».

 

L'état « clean », « suspicious » ou « malicious » est retourné par l'option sandboxing lorsque le fichier a déjà fait l'objet d'une analyse et d'une classification. L'état « unknown » est retourné lorsque le fichier concerné est inconnu de sandboxing. Dans ce cas, le fichier complet est transmis par le firewall pour analyse.

Sandboxing
msg

Message associé au résultat d'analyse sandboxing.

Chaîne de caractères au format UTF-8. Exemple: « Virus name: thisvirus ».

Message
dstcontinent

Continent auquel appartient l'adresse IP de destination de la connexion.

Valeur : le code ISO du continent.

Exemple : dstcontinent=« eu »

Disponible depuis : SNS v3.0.0.

Continent destination
dstcountry

Pays auquel appartient l'adresse IP de destination de la connexion.

Format : le code ISO du pays.

Exemple : dstcountry=« fr »

Disponible depuis : SNS v3.0.0.

Pays destination
dsthostrep

Réputation de la machine cible de la connexion. Disponible uniquement si la gestion de réputation a été activée pour la machine concernée.

Format : entier non borné.

Exemple : dsthostrep=506

Disponible depuis : SNS v3.0.0.

Réputation des machines destination
dstiprep

Réputation de l'adresse IP de destination. Disponible uniquement si cette adresse IP est publique et référencée dans la base de réputation des adresses IP.

Valeur : « anonymizer », « botnet », « malware », « phishing », « tor », « scanner » ou « spam ».

Exemple : dstiprep=« spam »

Disponible depuis : SNS v3.0.0.

Réputation de l'IP en destination
risk

Risque lié à la connexion. Cette valeur participe au calcul du score de réputation de la machine source de la connexion.

Valeur : entre 1 (risque faible) et 100 (risque très élevé).

Exemple : risk=20

Disponible depuis : SNS v3.0.0.

Risque
srccontinent

Continent auquel appartient l'adresse IP source de la connexion.

Valeur : le code ISO du continent.

Exemple : srccontinent=« eu »

Disponible depuis : SNS v3.0.0

Continent source
srccountry

Pays auquel appartient l'adresse IP source de la connexion.

Format : le code ISO du pays.

Exemple : srccountry=« fr »

Disponible depuis : SNS v3.0.0

Pays source
srchostrep

Réputation de la machine source de la connexion. Disponible uniquement si la gestion de réputation a été activée pour la machine concernée.

Format : entier non borné.

Exemple : srchostrep=26123

Disponible depuis : SNS v3.0.0

Réputation des machines sources
srciprep

Réputation de l'adresse IP source. Disponible uniquement si cette adresse IP est publique et référencée dans la base de réputation des adresses IP.

Valeur : « anonymizer », « botnet », « malware », « phishing », « tor », « scanner » ou « spam ».

Exemple : srciprep=« anonymizer,tor »

Disponible depuis : SNS v3.0.0

Réputation de l'IP en source

proto

Nom du plugin associé. A défaut, nom du service standard correspondant au port de destination. Chaîne de caractères au format UTF-8. Exemple : « http », « ssh »

Disponible depuis : SNS v1.0.0.

Protocole

service

Service (produit possédant un port dédié) sur lequel la vulnérabilité a été détectée.

Chaîne de caractères au format UTF-8. Exemple : « OpenSSH_5.4 »

Management de vulnérabilités / Service