PAN-OS 7,1 DNS personnalisé Signatures liste rouge

Clients du réseau de Palo Alto reçussent intelligence menace de tierce partie qui comprend des domaines malveillants que Palo Alto Networks ne peut pas avoir dans ses propres signatures. Une nouvelle fonctionnalité de PAN-OS 7.1, pris en charge sur tous les appareils de PAN-OS fonctionnant PAN-OS 7.1 ou plus récent, permet aux clients de créer une liste de blocage DNS signatures personnalisée.

Solution :

• Cette nouvelle fonctionnalité permet aux clients d’ajouter une liste personnalisée des domaines à utiliser avec les fonctionnalités de doline dans le profil de Anti-Spyware.
• Cette fonctionnalité est prise en charge sur tous les appareils de PAN-OS, y compris M-100, M-500 et Panorama VM, en cours d’exécution PAN-OS 7.1 ou version ultérieure.

Informations sur la fonctionnalité :

• Une nouvelle signature de spyware DNS personnalisée est créée pour chaque élément dans la liste dynamique externe (EDL)
  • Le nom de signature pour les signatures de doline DNS personnalisés sera « Suspectes requête DNS (nom de domaine complet) »
  • Un nouvel ID de signature est créé pour chaque élément dans la liste automatiquement avec la cuisinière dans une piscine
  • Type de signature sera spyware, de gravité moyenne

• Restrictions
  • Jusqu'à 30 EDL de tout type sont pris en charge
  • Jusqu'à 50 000 domaines sont pris en charge (systémique)
    • Si il y a plus de 50 000 domaines, le premier 50 000 sont prises et un journal système sera généré indiquant que la capacité a été dépassée
    • Aucune limite sur les listes individuelles, mais le total de toutes les listes ne peut excéder 50 000
• Capacité de la plate-forme haut de gamme (PA-5000 et PA-7000)
  • Jusqu'à 30 EDL de tout type sont pris en charge
  • Maximum de 150 000 total IPs et 50 000 domaines totales

• Le nom du fichier des listes de domaine sur le serveur distant doit être dans un format de texte ordinaire
• Un domaine par ligne
• Si le nombre dépasse les limites de la plate-forme, la validation échoue

Configuration

• Listes de bloc de signature DNS personnalisées peuvent être configurés sous l’onglet objets > dynamique des listes externes (anciennement dynamique Block Lists) à l’aide d’un type de liste de domaines :

• Bloc liste actions sont configurées sous l’onglet objets > profils d’Anti-Spyware. Tout configuré des listes dynamiques externes qui sont du domaine type apparaîtra dans le menu déroulant :

• Notez que Palo Alto Networks DNS Signatures s’affichent par défaut sous domaines externes de liste dynamique avec une action de doline
• L’IPv4 adresse sinkhole PAN Sinkhole par défaut la valeur par défaut, mais peut être changé comme vous le souhaitez

• Configuration de listes dynamiques externes peut être programmée de la CLI :

# Set Shared/<vsys vsys1=""> External-List <tab>
-liste des listes ajoutées en cours
<name>

# Set Shared/<vsys vsys1=""> External-List <name>
+ Description Description + URL URL
 
 + type type
 > périodicité récurrente
<Enter> entrée

# Set Shared/ External- <name>type <tab>

  </tab> </name> de liste de domaine de  </Enter>       </name> </vsys> </name>    </tab> </vsys> domaine IP liste IP

• Configuration des profils d’Anti-Spyware peut être programmée de la CLI :

# Set Shared/<vsys vsys1=""> Profile Spyware <profilename> <tab>
+ Description Description
 > botnet-domaines botnet-domaines
 > règles règles
 > menace-exception Threat-exception
<Enter> Terminer entrée

# Set Shared/<vsys vsys1=""> profils Spyware AS1 bot NET-Domains <tab>
+ paquet-capture Packet-Capture
 > liste liste des domaines (nouvelle option ajoutée)
 > gouffre gouffre (paramètre de gouffre commun aux listes)
 > menace-exception Threat-exception de
<Enter> finition entrée

# se t Shared/<vsys vsys1=""> profils Spyware AS1 botnet-liste des noms <tab>
...</tab> </vsys>  </Enter>       </tab> </vsys>  </Enter>       </tab> </profilename> </vsys> le gestionnaire d'achèvement reprend les listes de domaines pertinentes...
   <name>


# Set Shared/<vsys vsys1=""> Profiles Spyware AS1 botnet-liste des noms <domain list="" name=""> <tab>
action

# Set Shared/<vsys vsys1=""> Profiles Spyware AS1 botnet-liste des noms <domain list="" name="">action <tab>
alerte
 permettre
 bloc
 gouffre   </tab> </domain> </vsys>  </tab> </domain> </vsys></name>

• Listes dynamiques externes peuvent être actualisées manuellement à l’aide de la commande suivante :

> système de demande externe-liste d'actualisation type nom de domaine personnalisé-DNS-Block-liste EDL actualiser le travail mis en

file d'attente

• La requête sera mise en file d'attente en tant que tâche et son statut peut être vérifié à l'Aide de lacommande'afficher les travaux' ou en affichant les tâches dans l'interface
• Type d’emploi est EDLRefresh

• Les échecs de téléchargement ou d'actualisation EDL seront enregistrés dans les journaux système et MS . log

Haute disponibilité

• Le fichier texte qui contient le mappage des ID menace interne vers des domaines malveillants, est recréé sur HA pairs sur chaque commit.