Cómo utilizar el enfoque automático

Cómo utilizar el enfoque automático

32543
Created On 09/25/18 19:03 PM - Last Modified 08/05/19 19:48 PM


Resolution


Tenemos una FAQ sobre el enfoque automático, pero el FAQ no le muestra cómo usar la herramienta o mostrarle cómo se ve el enfoque automático.

 

Ya sabemos que el enfoque automático es un gran servicio de inteligencia de amenazas que pueden ser utilizados por los operadores de seguridad y los primeros en responder para descubrir amenazas importantes en su red y distinguir rápidamente las amenazas de los productos básicos de los ataques dirigidos.

 

Cómo utilizar el enfoque automático:

 

Ahora, concentrémonos en cómo usar esta gran herramienta.

 

2016-07 -06_tnt1. pngVista principal del panel de enfoque automático.

Cuadro de mandos

 

Para acceder a la página del panel de enfoque automático, por favor visite y firme en:
https://autofocus.paloaltonetworks.com

 

Este panel ha sido diseñado para ser una herramienta de análisis de amenazas de búsqueda ultra rápida.

Lo primero que verán en el salpicadero son las sesiones de descarga de malware.

 

Esta información se divide en 3 fichas: mi organización, mi industria y todo.
Es importante tener esta distinción para ayudarle a entender cómo las amenazas afectan a las diferentes empresas.

 

De forma predeterminada, verá mi organización.
Si sólo está Startng, o no ha establecido incendios forestales en su entorno, es posible que no vea nada aquí.
Si ese es el caso, es posible que desee cambiar la vista a mi industria o todo.

Dentro del área de la sesión de descarga de malware, verá el período de tiempo en la parte superior derecha:

 

2016-07 -06_tnt2. pngPeríodo de tiempo que muestra las opciones disponibles.

 

Este período de tiempo es seleccionable, y usted puede ver lo siguiente:

  • Últimos 7 días
  • En los últimos 30 días
  • Últimos 90 días
  • Últimos 6 meses
  • De todos los tiempos

 

Cuanta más información esté buscando, más podrá ver históricamente, ayudándole a solucionar problemas y emitir o, al menos, determinar cuánto tiempo ha estado en su red, o si lo ha visto en la naturaleza.

 

Dentro del salpicadero también podrás ver más categorías, dependiendo de lo que hayas seleccionado en la parte superior:

 

Seleccione mi organización para ver las aplicaciones más importantes, las industrias de destino y los principales programas maliciosos.

2016-07 -06_tnt3. pngTop aplicaciones, malware superior y pantalla de firewalls superior.

Seleccione mi industria para ver las aplicaciones principales y el malware superior.

2016-07 -06_tnt4. pngTop aplicaciones y la pantalla de malware superior

 

Seleccione todo para ver las aplicaciones más importantes, las industrias de destinoy los principales programas maliciosos.

2016-07 -06_tnt5. pngPrincipales aplicaciones, las industrias de destino y la pantalla de malware superior.

 

Estas áreas pueden ayudar a indicar qué aplicaciones se están usando para las amenazas, las industrias, los cortafuegos superiores que ven las amenazas, y el malware superior que se ha visto.

 

Continuando, usted también verá los países de origen/destino (que es seleccionable), y las etiquetas superiores que están en la naturaleza. También puede elegir diferentes tipos de etiquetas seleccionando elegir tipos de etiquetas para opciones seleccionables: Unit42, público, privado e informativo .

2016-07 -06_tnt6. pngLos países de origen/destino, así como las etiquetas superiores y las opciones de tipos de etiquetas.

 

Por último, en el tablero de mandos verá el registro de alertas y la reciente unidad 42 de noticias de investigación feed.

2016-07 -06_tnt7. pngRegistro de alertas y reciente unidad 42 investigación feed.

 

Las alertas son configurables seleccionando "alertas" en la parte izquierda de la pantalla. Más detalles abajo.

Bajo la reciente unidad 42 Research, usted puede hacer clic en cualquiera de los titulares, que se vinculará a la unidad de palo alto 42 blog de la página.

 

Ver alertas

 

A la izquierda del salpicadero, en Search, verás alertas.

2016-07 -06_tnt8. pngAlertas > registro de alertas que muestra todas las alertas en el registro de alertas.

 

Dentro del registro de alertas, usted verá todas las alertas disponibles.

 

Verá la hora, el hash SHA256, la etiqueta asociada con él, el ámbito de la etiqueta y el estado de envío (a Wildfire).
Puede realizar una búsqueda rápida en la parte superior derecha, donde puede buscar en todos los aspectos de los registros, nombre, etiqueta, hash, etc. Casi todo es clickable para proporcionar una información más detallada.

 

2016-07 -06_tnt8a. pngOpciones de etiqueta en el registro de alertas.

 

Para cualquier etiqueta en el área de alertas, sitúe el mouse sobre el nombre de la etiqueta para ver más información sobre esta amenaza, número de Hits, alcance, último número de votos, así como tener la capacidad de "votar" esta etiqueta, y de reportar esta amenaza en su red.

 

2016-07 -06_tnt9. pngAlertas > ajustes que muestran las opciones disponibles.

 

Dentro de las alertas está la pestaña Settings.
Inside, puede ver las opciones de alertas en los tipos de etiquetas, la acción que le gustaría (mediante el desplegable), así como las acciones de alerta que puede configurar (para ser enviado por correo electrónico o una página web).

 

¿Cómo puede ayudar el enfoque automático?

Ahora que conoce todas las partes para el enfoque automático, ¿cómo le ayuda? ¿Cómo se utiliza toda esta información al alcance de la mano?

 

Finjamos que usted es un primer respondedor, comenzando una investigación sobre una de las últimas amenazas recientemente habladas por nuestro propio grupo de unidad 42.


Como ejemplo, echemos un vistazo al blog de la unidad 42 discutiendo la operación Lotus Blossom:
http://researchcenter.paloaltonetworks.com/2015/06/Operation-Lotus-Blossom/

 

Según el artículo, una característica de estos ataques es:
"utilizan una puerta trasera de Troya personalizada llamada" Elise "para ganar un punto de apoyo"

 

Si desea obtener más información acerca de este troyano, a continuación, en el interior de enfoque automático, vaya a la sección de etiquetas a la izquierda, y realizar una búsqueda rápida de Elise. Alternitively, puede haber una sección con etiquetas y un enlace directamente al enfoque automático. 2016-07 -06_tnt10. pngSección de etiquetas que muestra la búsqueda rápida de " Elise"

 

Si hace clic en la etiqueta, Elise, verá una nueva ventana que muestra el detalle de la etiqueta.

2016-07 -06_tnt11. pngEtiqueta de detalle para "Elise" tag.

 

Dentro de la nueva ventana, verá el propietario de la etiqueta, # de las muestras vistas, último golpe, clase de etiqueta, fuente, última actualización, y el número de votos. También contiene todos los nombres de proceso, llamadas dll y su comportamiento. También se incluyen las acciones para buscar en el comportamiento específico, y las opciones para votar y reportar. 

 

Si quieres leer más, ve a la sección de "referencias" con enlaces a artículos sobre esta amenaza.

 

Profundizar aún más en el enfoque automático

Para obtener más información y profundizar aún más, haga clic en la lupa en la parte superior del detalle para agregar esta etiqueta a una ventana de búsqueda.

 

2016-07 -06_tnt12. pngVentana de búsqueda que muestra los resultados de la etiqueta Elise.

 

Mis muestras deben ser highlighed, mostrando muestras que han sido suministradas desde sus redes a Wildfire. (si no ve resultados, entonces eso significa que no se ha visto una amenaza particular dentro de su red, lo cual es algo bueno.)

 

Para continuar buscando información sobre esta amenaza, haga clic en el hash SHA256 en uno de los artefactos.

 

2016-07 -06_tnt13. pngPantalla de detalle de muestra que muestra información detallada acerca de este archivo de ejemplo enviado. Se muestra el veredicto, muy sospechoso, sospechoso, así como artículos poco interesantes.

 

Esta pantalla muestra una gran cantidad de información.

 

Para empezar, tenemos el veredicto de Wildfire, que muestra malware.
A continuación están todos los hashes disponibles, así como detalles de archivo.
Hay incluso un enlace a VirusTotal, para obtener más información de VirusTotal en este archivo.

A continuación se encuentra el área de análisis dinámico Wildfire, donde se ven todos los resultados de Windows 7 y Windows XP virtual Sandbox.

 

Todos los comportamientos de archivo están documentados aquí. Se dividen en 3 categorías:

  • Artículos poco interesantes (gris),
  • Artículos sospechosos (naranja)  
  • Artículos altamente sospechosos (rojo)

Puede hacer clic en cada una de las categorías de actividad para obtener más información, pero para este ejemplo, elegiremos la actividad DNS para ver más información.

 

2016-07 -06_tnt14. pngDetalle y opciones de actividad de DNS.

 

En esta pantalla. se ve el detalle de la actividad DNS.
Se divide en el número de: benigno (#B), malévolo (#M) y greyware (#G), así como la consulta, la respuesta y el tipo de DNS. Observe cómo el triángulo rojo y el punto Exclamaition están en la primera línea?

Este una URL, www.vienclp.com, para NXDOMAIN búsqueda no ha visto mucha actividad en Wildfire. De hecho, esto sólo se ha visto 4 veces, pero en todos esos casos, se considera malicioso. No hubo resultados benignos ni greyware.

 

Si desea ver más información en esta URL, haga clic en el menú desplegable a la derecha (que aparece cuando el ratón sobre el dominio), y seleccione "domain and URL info..." Aparecerá una nueva ventana con toda la información de dominio y URL recopilada en referencia a esta URL.

 

2016-07 -06_tnt15. pngInformación detallada de URL y dominios que muestra el Wildfire y el historial DNS pasivo.

 

En la nueva ventana, podrás ver información diferente.
En la zona superior (truncado por simplicidad), se ve una URL categorizada como malware.
Más abajo, en el área de historial de DNS pasivo, usted ve www.vienclp.com aparecer con una respuesta como 58.158.177.102, por 21 conteos. Este tipo de actividad normalmente es la actividad de mando y control. Este tipo de actividad vale la pena buscar dentro de los logs del cortafuegos para ver si ha habido algún tráfico a esta dirección IP, posiblemente mostrando tráfico no deseado desde su red.
Haga clic en cerrar para cerrar esa ventana.

 

2016-07 -06_tnt16. pngOpción de lista de exportación.

 

Otra opción que tiene es agregar este dominio a una lista de exportación.

 

Haga clic en el menú desplegable a la izquierda de la dirección URL y, a continuación, haga clic en Agregar a exportar lista y, a continuación, escriba un nombre o seleccione un nombre de exportación si ya ha creado una nueva lista de exportación. Pulse Intro. Obtendrá una confirmación verde de que el elemento se agregó correctamente a la lista de exportación.
Voy a cubrir más en las exportaciones cerca del final de este artículo.

 

Investigador

Si está realizando un rol más de investigador y desea reunir más información, desplácese hasta la sección actividad de conexión y amplíe.

 

2016-07 -06_tnt17. pngSección de actividad de conexión de la muestra Elise que estábamos viendo.

 

Si mira dentro del área de actividad de conexión, puede ayudarle a entender qué proceso estaba tratando de obtener acceso a una ubicación específica.


Verá que la actividad altamente sospechosa que se conecta a través de TCP a 113.10.222.151:80 en HK (Hong Kong). Había 5 conexiones, todo el malware considerado. Esta sería una gran dirección IP para buscar también sus registros para conexiones similares.
En este ejemplo, no hay ningún proceso padre en la lista, pero si lo hubiera, podría agregar el nombre del proceso a otra búsqueda y buscar ese proceso realizando cualquier otra fuction.

 

Exportaciones para crear políticas de seguridad

Como se indicó anteriormente, puede reunir una lista de elementos exportables que se exportarán y, a continuación, importarlos en el cortafuegos de Palo Alto Networks para utilizarlos en directivas de seguridad para bloquear el tráfico.
Para ello, vaya a las secciones exportaciones a la izquierda del enfoque automático.

 

2016-07 -06_tnt18. pngSección de exportaciones mostrando las opciones para las exportaciones. 

 

He creado Export-1, como una etiqueta anterior, que tiene una entrada en la lista.
Para ver lo que hay en la lista, haga clic en el nombre de la etiqueta-Export-1.

2016-07 -06_tnt19. pngExportar detalle para "Export-1" mostrando los elementos que se agregan y las opciones.

 

Puede ver la sección y el valor de los datos a exportar.
Si toda la información parece buena para exportar, haga clic para exportar los 1 elementos y aparecerá una nueva ventana.

2016-07 -06_tnt20. pngExportar ventana, mostrando las opciones disponibles. La opción para "formateado para pan-os Block List" es una buena para tener.

 

La ventana exportar a archivo muestra opciones para exportar.
Si desea esto para una lista de bloques, asegúrese de elegir formateado para la lista de bloques pan-os.
Si también desea metadatos, asegúrese de seleccionar metadatos de exportación.
A continuación, haga clic en exportar para exportar los datos.  Un. El archivo CSV se guardará en el navegador.

También tiene la opción de eliminar elementos de la lista.

 

 

¡ Gracias por leer! Espero que esto le haya ayudado a entender cómo utilizar el enfoque automático como primer respondedor o como investigador para reunir más información.

 

Damos la bienvenida a todos los comentarios, opiniones y sugerencias en la sección de comentarios.

 

¡ Manténganse seguros!
Joe Delio
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClTxCAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language