Wie man Autofokus nutzt

Wie man Autofokus nutzt

32537
Created On 09/25/18 19:03 PM - Last Modified 08/05/19 19:48 PM


Resolution


Wir haben eine FAQ über Autofocus, aber die FAQ zeigt Ihnen nicht, wie Sie das Tool tatsächlich verwenden oder Ihnen zeigen, wie Autofokus aussieht.

 

Wir wissen bereits, dass Autofocus ein großer Bedrohungs Nachrichtendienst ist, der von Sicherheits Betreibern und First-Respondern genutzt werden kann, um wichtige Bedrohungen in Ihrem Netzwerk zu entdecken und Rohstoff Bedrohungen schnell von gezielten Angriffen zu unterscheiden.

 

Wie man Autofokus nutzt:

 

Nun wollen wir uns darauf konzentrieren, wie wir dieses großartige Werkzeug nutzen.

 

2016-07 -06_tnt1. pngAutofokus-Haupt-Armaturenbrett-Ansicht.

Dashboard

 

Um auf die Autofocus-armaturenbrettseite zuzugreifen, besuchen Sie bitte und melden Sie sich an:
https://Autofocus.paloaltonetworks.com

 

Dieses Armaturenbrett wurde als ultraschnelles Such-Bedrohungsanalyse-Tool entwickelt.

Das erste, was Sie im Armaturenbrett sehen werden, sind die Malware-Download-Sessions.

 

Diese Informationen sind in 3 Registerkarten unterteilt: meine Organisation, meine Industrie und alle.
Es ist wichtig, diese Unterscheidung zu haben, um Ihnen zu helfen zu verstehen, wie Bedrohungen verschiedene Unternehmen betreffen.

 

Standardmäßig werden Sie Meine Organisation sehen.
Wenn Sie nur startng sind oder kein Lauffeuer in Ihrer Umgebung eingerichtet haben, dann sehen Sie hier vielleicht nichts.
Wenn das der Fall ist, möchten Sie vielleicht den Blick auf Meine Branche oder alle umstellen .

Im Bereich der Malware-Download-Session sehen Sie die Zeitspanne oben rechts:

 

2016-07 -06_tnt2. pngZeitspanne, die die verfügbaren Optionen anzeigt.

 

Diese Zeitspanne ist wählbar, und Sie können Folgendes sehen:

  • Letzte 7 Tage
  • Die letzten 30 Tage
  • Letzten 90 Tage
  • Letzten 6 Monaten
  • Aller Zeiten

 

Die mehr Informationen, die Sie suchen, desto mehr sind Sie in der Lage, historisch zu sehen, helfen Ihnen, Probleme zu lösen und auszugeben, oder zumindest nur zu bestimmen, wie lange hat etwas in Ihrem Netzwerk gewesen, oder in freier Wildbahn gesehen.

 

Im Inneren des Armaturenbretts finden Sie auch weitere Kategorien, je nachdem, was Sie oben ausgewählt haben:

 

Wählen Sie Meine Organisation, um Top-Anwendungen, Zielbranchen und Top-Malware zu sehen.

2016-07 -06_tnt3. pngTop-Anwendungen, Top-Malware und Top-Firewalls-Bildschirm.

Wählen Sie Meine Branche , um Top -Anwendungen und Top-Malware zu sehen .

2016-07 -06_tnt4. pngTop-Anwendungen und Top-Malware-Screen

 

Wählen Sie alle aus, um Top-Anwendungen, Zielbranchenund Top-Malware zu sehen.

2016-07 -06_tnt5. pngTop-Anwendungen, Zielbranchen und Top-Malware-Screen.

 

Diese Bereiche können dazu beitragen, anzugeben, welche Anwendungen für Bedrohungen verwendet werden, die Industrien, Top-Firewalls, die die Bedrohungen sehen, und die Top-Malware, die man gesehen hat.

 

Weiterhin werden Sie auch Quell-/Zielländer (die wählbar sind) und Top-Tags, die in freier Wildbahn sind, sehen. Sie können auch verschiedene Tagtypen wählen, indem Sie die Tagtypen für wählbare Optionen auswählen: Unit42, Public, private und informativ.

2016-07 -06_tnt6. pngQuell-/Zielländer sowie Top-Tags und die Tagtypen-Optionen.

 

Zuletzt auf dem Armaturenbrett sehen Sie das Alerts Log und die aktuelle Einheit 42 Research News Feed.

2016-07 -06_tnt7. pngBenachrichtigungen Log und aktuelle Einheit 42 Research Feed.

 

Die Alarme sind konfigurierbar, indem Sie auf der linken Seite des Bildschirms "Alarme" auswählen. Weitere Details finden Sie unten.

Unter der aktuellen Einheit 42 Research können Sie auf eine der Schlagzeilen klicken, die sich auf Palo Alto es Einheit 42 Blog-Seite verbinden wird.

 

Anzeige Warnungen

 

Links neben dem Armaturenbrett, unter der Suche, sehen Sie Warnungen.

2016-07 -06_tnt8. pngAlarme > Benachrichtigungen anzeigen, die alle Warnungen im Benachrichtigungen-Log zeigen.

 

Im Inneren des Warn Protokolls sehen Sie alle verfügbaren Warnungen.

 

Sie werden die Zeit, den SHA256-Hash, den damit verbundenen Tag, den Tag-Scope und den Sende Status (zu Wildfire) sehen.
Sie können eine schnelle Suche in der oberen rechten Seite durchführen, wo Sie nach jedem Aspekt der Protokolle, Namen, Tag, Hash, etc. suchen können. Fast alles ist klianbar, um detailliertere Informationen zu liefern.

 

2016-07 -06_tnt8a. pngTag-Optionen im Benachrichtigungen-Log.

 

Für alle Tags im Alarmbereich, schweben Sie mit der Maus über den Tag-Namen, um weitere Informationen über diese Bedrohung, Anzahl der Treffer, Scope, letzte Trefferzahl der Stimmen zu sehen, sowie haben die Möglichkeit, "abstimmen" dieses Tag, und diese Bedrohung in Ihrem Netzwerk zu melden.

 

2016-07 -06_tnt9. pngBenachrichtigungen > Einstellungen, die die verfügbaren Optionen anzeigen.

 

Inside Alerts ist die Registerkarte Einstellungen.
im Inneren sehen Sie die Alarm Optionen auf Tagtypen, die Aktion, die Sie möchten (durch die Verwendung des Drop-Down), sowie die Alarm Aktionen, die Sie konfigurieren können (per e-Mail oder eine Webseite).

 

Wie kann Autofokus helfen?

Nun, da Sie alle Teile zum Autofokus kennen, wie hilft es Ihnen? Wie nutzen Sie all diese Informationen zur Hand?

 

Lassen Sie uns so tun, als wären Sie ein First Responder, beginnend mit einer Untersuchung einer der neuesten Bedrohungen, über die kürzlich von unserer eigenen Einheit 42 Gruppe gesprochen wurde.


Nehmen wir als Beispiel einen Blick auf das Blog von Unit 42, in dem es um die Operation Lotus Blossom geht:
http://researchCenter.paloaltonetworks.com/2015/06/Operation-Lotus-Blossom/

 

Ein Merkmal dieser Attacken ist dem Artikel zufolge:
"Sie verwenden eine eigene Trojaner-Hintertür namens" Elise ", um Fuß zu fassen"

 

Wenn Sie mehr Informationen über diesen Trojaner wollen, dann innerhalb von Autofocus, gehen Sie zum Tags-Abschnitt auf der linken Seite, und führen Sie eine schnelle Suche nach Elise. Im alternitiv kann es einen Abschnitt mit Tags und einen Link direkt zu Autofocus geben. 2016-07 -06_tnt10. pngTags-Sektion, die die schnelle Suche nach " Elise" zeigt

 

Wenn Sie auf den Tag, Elise, klicken, sehen Sie dann ein neues Fenster, das Tag-Detail zeigt.

2016-07 -06_tnt11. pngTag Detail für "Elise" Tag.

 

Im Inneren des neuen Fensters sehen Sie den Tag-Besitzer, # von Samples gesehen, letzten Hit, Tag-Klasse, Quelle, zuletzt aktualisiert, und die Anzahl der Stimmen. Es enthält auch alle Prozessnamen, dll-Anrufe und sein Verhalten. Dazu gehören auch Aktionen, um nach dem spezifischen Verhalten zu suchen, und Optionen, um abzustimmen und zu berichten. 

 

Wenn Sie mehr lesen möchten, gehen Sie in die Rubrik "Referenzen" mit Links zu Artikeln über diese Bedrohung.

 

Noch tiefer in Autofokus Graben

Um mehr Informationen zu erhalten und noch tiefer zu graben, klicken Sie auf die Lupe oben im Detail, um dieses Tag in ein Suchfenster einzufügen.

 

2016-07 -06_tnt12. pngSuchfenster, das die Ergebnisse für den Elise-Tag zeigt.

 

Meine Proben sollten hoch aufgelockert werden, indem Sie Proben zeigen, die aus ihren Netzen an Wildfire geliefert wurden. (wenn Sie keine Ergebnisse sehen, dann bedeutet das, dass eine besondere Bedrohung in Ihrem Netzwerk nicht gesehen wurde, was eine gute Sache ist.)

 

Um weiter nach Informationen über diese Bedrohung zu graben, klicken Sie auf den SHA256-Hash zu einem der Artefakte.

 

2016-07 -06_tnt13. pngBeispiel Detailbildschirm mit detaillierten Informationen zu dieser eingereichten Beispieldatei. Es zeigt das Urteil, hoch verdächtige, verdächtige sowie uninteressante Gegenstände.

 

Dieser Beispiel Bildschirm zeigt so viele tolle Informationen.

 

Zum Auftakt haben wir das Wildfire-Urteil, das Malware zeigt .
Als nächstes stehen alle Hashes zur Verfügung, sowie Dateidetails.
Es gibt sogar eine Verbindung zum virustotal, für weitere Informationen aus VirusTotal auf dieser Datei.

Als nächstes befindet sich der dynamische Analysebereich Wildfire, in dem Sie alle virtuellen Sandbox-Ergebnisse von Windows 7 und Windows XP sehen.

 

Alle Datei Verhalten sind hier dokumentiert. Sie sind in drei Kategorien unterteilt:

  • Uninteressante Gegenstände (grau),
  • Verdächtige Gegenstände (Orange)  
  • Hoch verdächtige Gegenstände (rot)

Sie können auf jede der Aktivitäts Kategorien klicken, um weitere Informationen zu erhalten, aber für dieses Beispiel werden wir DNS-Aktivität wählen, um mehr Infos zu sehen.

 

2016-07 -06_tnt14. pngDNS-Aktivitäts-Detail und Optionen.

 

In diesem Bildschirm. Sie sehen das Detail der DNS-Aktivität.
Es wird in die Anzahl der: gutartigen (#B), bösartigen (#M) und Greyware (#G), sowie die DNS-Abfrage, Reaktion und Typ gebrochen. Beachten Sie, wie das rote Dreieck und der ausrufepunkt in der ersten Zeile stehen?

Diese eine URL, www.vienclp.com, für NXDOMAIN Lookup hat nicht viel Aktivität in Wildfire gesehen. In der Tat wurde dies nur viermal gesehen, aber in all diesen Fällen, die als bösartig angesehen wurden. Es gab keine gutartigen oder Grauware Ergebnisse.

 

Wenn Sie mehr Informationen über diese eine URL sehen möchten, klicken Sie auf den Dropdown-auf der rechten Seite (der erscheint, wenn Sie über die Domain Maus), und wählen Sie "Domain und URL Info"... Ein neues Fenster erscheint mit allen Domains und URL-Informationen, die in Bezug auf diese URL gesammelt werden.

 

2016-07 -06_tnt15. pngAusführliche URL und Domain-Informationen, die Wildfire und passive DNS-Geschichte zeigen.

 

Im neuen Fenster sehen Sie verschiedene Infos.
Im oberen Bereich (für die Einfachheit abgeschnitten) sehen Sie eine URL, die als Malware kategorisiert ist.
Weiter unten, im passiven DNS-geschichtsbereich, sehen Sie www.vienclp.com mit einer Antwort als 58.158.177.102 erscheinen, für 21 Zählungen. Diese Art von Aktivität ist normalerweise Befehls-und Kontroll Aktivität. Diese Art von Aktivität lohnt sich, in Ihren Firewall-Protokollen zu suchen, um zu sehen, ob es einen Traffic zu dieser IP-Adresse gegeben hat, was möglicherweise unerwünschten Datenverkehr aus Ihrem Netzwerk zeigt.
Klicken Sie in die Nähe, um das Fenster zu schließen.

 

2016-07 -06_tnt16. pngExport Liste-Option.

 

Eine weitere Option, die Sie haben, ist, diese Domain in eine Exportliste aufzunehmen.

 

Klicken Sie auf den Dropdown-auf der linken Seite der URL, dann klicken Sie auf die Export Liste hinzufügen, dann geben Sie einen Namen ein oder wählen Sie einen Export Namen, wenn Sie bereits eine neue Export Liste erstellt haben. Drücken Sie die EINGABETASTE. Sie erhalten eine grüne Bestätigung, dass der Artikel erfolgreich in die Exportliste aufgenommen wurde.
Ich werde mehr in den Exporten am Ende dieses Artikels abdecken.

 

Forscher

Wenn Sie mehr von einer Forscher Rolle spielen und weitere Informationen sammeln möchten, Scrollen Sie zum Abschnitt Verbindungs Aktivität und erweitern Sie sich.

 

2016-07 -06_tnt17. pngVerbindungs Aktivität Abschnitt der Elise-Probe, die wir uns angeschaut haben.

 

Wenn Sie in den Bereich der Verbindungs Aktivität schauen, kann es Ihnen helfen zu verstehen, welcher Prozess versucht hat, Zugang zu einem bestimmten Ort zu erhalten.


Sie werden sehen, dass die sehr verdächtige Aktivität, die über TCP mit 113.10.222.151:80 in HK (Hong Kong) verbindet. Es gab 5 Verbindungen, die alle als Malware galten. Dies wäre eine großartige IP-Adresse, um auch Ihre Protokolle nach ähnlichen Verbindungen zu suchen.
In diesem Beispiel ist kein Elternprozess aufgelistet, aber wenn es ihn gab, könnten Sie den Prozessnamen zu einer anderen Suche hinzufügen und nach diesem Prozess suchen, der eine andere Fuktion durchführt.

 

Exporte zur Schaffung von Sicherheitsmaßnahmen

Wie bereits erwähnt, können Sie eine Liste von exportier barem Gegenständen sammeln, die exportiert werden sollen, und dann in die Palo Alto Networks Firewall importiert werden, um den Verkehr zu blockieren.
Um dies zu tun, gehen Sie zu den Export Abschnitten Links von Autofocus.

 

2016-07 -06_tnt18. pngExport Abschnitt, der die Optionen für die Exporte aufzeigt. 

 

Ich habe Export-1 als Etikett früher erstellt, das es 1 Eintrag aufgelistet hat.
Um zu sehen, was in der Liste steht, klicken Sie auf den Etikettennamen-Export-1.

2016-07 -06_tnt19. pngExportieren Sie Details für "Export-1" mit den hinzugefügten Artikeln und Optionen.

 

Sie können den Abschnitt und den Wert der Daten zum Export sehen.
Wenn alle Informationen gut zu exportieren erscheinen, klicken Sie auf alle 1 Elemente zu exportieren, und ein neues Fenster erscheint.

2016-07 -06_tnt20. pngExport Fenster, die Optionen anzeigen. Die Option für "formatiert für Pan-OS Block List" ist eine nette, die man haben muss.

 

Das Exportieren in das Datei Fenster zeigt Optionen zum Export an.
Wenn Sie dies für eine Blockliste wünschen, stellen Sie sicher, dass Sie für die Pan-OS-Blockliste formatiert sind.
Wenn Sie auch Metadaten wollen, dann stellen Sie sicher, dass Sie Export Metadaten auswählen.
Dann klicken Sie auf Export, um die Daten zu exportieren.  Eine. CSV-Datei wird im Browser gespeichert.

Sie haben auch die Möglichkeit, Artikel in der Liste zu löschen.

 

 

Danke für das Lesen! Ich hoffe, dass Ihnen dies geholfen hat, zu verstehen, wie man Autofocus als First Responder oder als Forscher nutzt, um weitere Informationen zu sammeln.

 

Wir freuen uns über alle Kommentare, Rückmeldungen und Anregungen im Kommentarbereich unten.

 

Sicher bleiben!
Joe Delio
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClTxCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language