潘 OS 7.1 自定义 DNS 签名块列表
35005
Created On 09/25/18 17:39 PM - Last Modified 06/09/23 05:39 AM
Resolution
帕洛阿尔托网络客户可能会收到第三方威胁情报,其中包括恶意域的帕洛阿尔托网络可能没有在其自己的签名。一个新的泛 OS 7.1 功能,支持在所有泛 OS 设备上运行泛 OS 7.1 或更高版本,允许客户创建自定义的 DNS 签名块列表。
解决方案︰
- 这一新功能使客户能够添加域与反间谍软件配置文件中的灰岩坑功能一起使用的自定义列表。
- 此功能是支持所有泛 OS 的设备,包括 M-100、M-500,和全景 VM、运行泛 OS 7.1 或更高版本。
功能的详细信息:
- 为每个项目在外部动态列表 (EDL) 创建新的自定义 DNS 间谍软件签名
- 自定义 DNS 的灰岩坑签名的签名名称将为"可疑 DNS 查询 (完整的域名)"
- 为每个列表中的项自动与范围在池中创建新的签名 ID
- 签名类型将间谍软件,与中等严重程度
- 限制
- 30 EDLs 任何类型的支持
- 50000 个域名支持 (整个系统)
- 如果有超过 50000 个域名,采取第一 50,000,系统日志中会生成指示这种能力已超过
- 没有限制个别列表,但是所有列表聚合不能超过 50000
- 高端平台容量 (PA 5000 和 PA 7000)
- 30 EDLs 任何类型的支持
- 最大的 150,000 总 IPs 和 50000 个总域名
- 在远程服务器上的域列表文件名必须是常规文本格式
- 每行一个域名
- 如果 count 超过平台限制,提交会失败
配置
- 可以在对象选项卡下配置自定义 DNS 签名块列表 > 外部动态列表 (原动态阻止列表) 使用的域列表类型:
- 在对象选项卡中配置阻止列表操作 > 反间谍软件的配置文件。任何配置外部动态列表的域类型将出现在下拉菜单中:
- 请注意,帕洛阿尔托网络 DNS 签名显示默认情况下外部动态列表域与天坑行动
- IPv4 灰岩坑地址默认为泛灰岩坑默认,但可以更改为所需
# 设置共享/<vsys vsys1="">外部列表<tab>
-当前添加列表的列表
<name>
# 设置共享/<vsys vsys1="">外部列表<name>
+ 描述说明
+ url url
+ 类型类型
> 周期性重复
<Enter>完成输入
# 集共享/c15 >> 外部列表<name>类型<tab>
域域列表
ip ip 列表</tab> </name> </Enter> </name> </vsys> </name> </tab> </vsys>
# 设置共享/<vsys vsys1="">配置文件间谍软件<profilename> <tab>
+ 描述说明
> 僵尸网络-域名游戏-域
> 规则规则
> 威胁-异常威胁-异常
<Enter>完成输入
# 设置共享/<vsys vsys1="">配置文件间谍软件 AS1 botnet 域<tab>
+ 数据包捕获数据包捕获
> 域列表 (新增选项)
> 污水坑 (列表中常见的污水池)
> 威胁-异常威胁-异常
<Enter>完成输入
set 共享/<vsys vsys1="">配置文件间谍软件 AS1 僵尸网络-名称列表<tab>
...</tab> </vsys> </Enter> </tab> </vsys> </Enter> </tab> </profilename> </vsys> 完成处理程序拾取相关的域列表..。
<name>
# 设置共享/<vsys vsys1="">配置文件间谍软件 AS1 僵尸网络-名称列表<domain list="" name=""><tab>
操作
# 设置共享/<vsys vsys1="">配置文件间谍软件 AS1 僵尸网络-名称列表<domain list="" name="">行动<tab>
警报
允许
块
坑 </tab> </domain> </vsys> </tab> </domain> </vsys></name>
>> 请求系统外部列表刷新类型域名自定义 dns-阻止列表
EDL 刷新作业排队
- 该请求将作为作业排队, 并且可以使用 "显示作业" 命令检查其状态,或者查看 WebUI 中的任务 。
- 作业类型是 EDLRefresh
- 下载或 EDL 刷新失败将记录在系统日志和ms.log 中。
高可用性
- 文本的文件,其中包含内部威胁 ID 到恶意域的映射,是在每次提交医管局同行上重新创建。