Comment utiliser autofocus

Comment utiliser autofocus

32545
Created On 09/25/18 19:03 PM - Last Modified 08/05/19 19:48 PM


Resolution


Nous avons une FAQ sur l'autofocus, mais la FAQ ne vous montre pas comment utiliser réellement l'outil ou vous montrer ce que l'autofocus ressemble.

 

Nous savons déjà que l'autofocus est un service de renseignement de grande menace qui peut être utilisé par les opérateurs de sécurité et les premiers intervenants pour découvrir les menaces importantes sur leur réseau et de distinguer rapidement les menaces des produits d'attaques ciblées.

 

Comment utiliser autofocus:

 

Maintenant, concentrons-nous sur la façon d'utiliser ce grand outil.

 

2016-07 -06_tnt1. pngVue du tableau de bord principal autofocus.

Tableau de bord

 

Pour accéder à la page du tableau de bord autofocus, veuillez visiter et vous connecter:
https://autofocus.paloaltonetworks.com

 

Ce tableau de bord a été conçu pour être un outil d'analyse des menaces de recherche ultra-rapide.

La première chose que vous verrez dans le tableau de bord est les sessions de téléchargement de logiciels malveillants.

 

Cette information est divisée en 3 onglets: mon organisation, mon industrie, et tout.
Il est important d'avoir cette distinction pour vous aider à comprendre comment les menaces affectent différentes entreprises.

 

Par défaut, vous verrez mon organisation.
Si vous êtes juste startng, ou n'ont pas mis en place Wildfire dans votre environnement, alors vous ne pouvez pas voir quelque chose ici.
Si c'est le cas, vous voudrez peut-être changer la vue de mon industrie ou de tous.

À l'intérieur de la zone de session de téléchargement de malware, vous verrez la période dans le coin supérieur droit:

 

2016-07 -06_tnt2. pngPériode de temps montrant les options disponibles.

 

Cette période de temps est sélectionnable, et vous pouvez voir ce qui suit:

  • 7 derniers jours
  • 30 derniers jours
  • Derniers 90 jours
  • 6 derniers mois
  • Tous les temps

 

Le plus d'informations que vous recherchez, plus vous êtes en mesure de voir historiquement, vous aider à dépanner et d'émettre ou au moins juste pour déterminer combien de temps a été quelque chose sur votre réseau, ou vu dans la nature.

 

À l'intérieur du tableau de bord, vous verrez également plus de catégories, en fonction de ce que vous avez sélectionné en haut:

 

Sélectionnez mon organisation pour voir les applications Top, target industries et Top Malware.

2016-07 -06_tnt3. pngTop applications, Top Malware et Top pare-feu écran.

Sélectionnez mon industrie pour voir les applications Top et Top Malware .

2016-07 -06_tnt4. pngTop applications et Top Malware Screen

 

Sélectionnez tout pour voir les applications Top, Target industrieset Top Malware.

2016-07 -06_tnt5. pngTop applications, Target industries et Top Malware Screen.

 

Ces zones peuvent aider à indiquer quelles applications sont utilisées pour les menaces, les industries, les pare-feu supérieurs de voir les menaces, et le malware haut qui a été vu.

 

En continuant, vous verrez également les pays source/destination (qui est sélectionnable), et les balises supérieures qui sont dans la nature. Vous pouvez également choisir différents types de balises en sélectionnant choisir les types de balise pour les options sélectionnables: Unit42, public, Private et Informational.

2016-07 -06_tnt6. pngPays source/destination, ainsi que les balises Top et les options de type tag.

 

Dernière sur le tableau de bord, vous verrez le journal des alertes et le récent unité 42 de recherche nouvelles de l'alimentation.

2016-07 -06_tnt7. pngJournal des alertes et de l'unité récente 42 recherche d'alimentation.

 

Les alertes sont configurables en sélectionnant "alertes" sur le côté gauche de l'écran. Plus de détails ci-dessous.

En vertu de l'unité récente de recherche 42, vous pouvez cliquer sur l'un des titres, qui sera un lien vers l'unité de Palo Alto 42 blog page.

 

Affichage des alertes

 

À gauche du tableau de bord, sous recherche, vous verrez des alertes.

2016-07 -06_tnt8. pngAlertes > journal des alertes affichant toutes les alertes dans le journal des alertes.

 

À l'intérieur du journal des alertes, vous verrez toutes les alertes disponibles.

 

Vous verrez l'heure, le hachage SHA256, la balise qui lui est associée, la portée de la balise et l'état d'envoi (pour Wildfire).
Vous pouvez effectuer une recherche rapide dans le coin supérieur droit, où vous pouvez rechercher sur tous les aspects des logs, nom, tag, Hash, etc. Presque tout est cliquable pour fournir des informations plus détaillées.

 

2016-07 -06_tnt8a. pngOptions de balise dans le journal des alertes.

 

Pour toutes les balises dans la zone d'alertes, placez votre souris sur le nom de la balise pour voir plus d'informations sur cette menace, le nombre de hits, la portée, le dernier nombre de votes, ainsi que la possibilité de "voter" cette balise, et de signaler cette menace sur votre réseau.

 

2016-07 -06_tnt9. pngAlertes > paramètres montrant les options disponibles.

 

Inside Alerts est l'onglet Paramètres.
à l'intérieur, vous voyez les options d'alertes sur les types de balises, l'action que vous souhaitez (à l'aide de la liste déroulante), ainsi que les actions d'alerte que vous pouvez configurer (pour être envoyé par courriel ou une page Web).

 

Comment l'aide autofocus peut-elle aider?

Maintenant que vous connaissez toutes les pièces à autofocus, comment cela vous aide-t-il? Comment utilisez-vous toutes ces informations à portée de main?

 

Imaginons que vous êtes un premier intervenant, en commençant une enquête sur l'une des dernières menaces récemment parlé par notre propre unité 42 groupe.


À titre d'exemple, jetons un coup d'oeil au blog de l'unité 42 qui discute de l'opération Lotus Blossom:
http://researchcenter.paloaltonetworks.com/2015/06/Operation-Lotus-Blossom/

 

Selon l'article, une caractéristique de ces attaques est:
"ils utilisent une porte dérobée de Troie personnalisé nommé" Elise "pour gagner pied "

 

Si vous voulez plus d'informations sur ce cheval de Troie, puis à l'intérieur autofocus, allez à la section Tags sur la gauche, et effectuer une recherche rapide pour Elise. Alternitively, il pourrait y avoir une section avec des balises et un lien directement à l'autofocus. 2016-07 -06_tnt10. pngSection Tags montrant la recherche rapide pour "Elise"

 

Si vous cliquez sur l'étiquette, Elise, vous voyez alors une nouvelle fenêtre affichant le détail d'étiquette.

2016-07 -06_tnt11. pngDétail de l'étiquette "Elise".

 

À l'intérieur de la nouvelle fenêtre, vous voyez le propriétaire de l'étiquette, nombre d'échantillons vus, dernier coup, classe de tag, source, dernière mise à jour, et le numéro de votes. Il contient également tous les noms de processus, les appels de dll et son comportement. Sont également inclus les actions de recherche sur le comportement spécifique, et les options de vote et de rapport. 

 

Si vous voulez en savoir plus, allez à la section "références" avec des liens vers des articles sur cette menace.

 

Creuser encore plus profondément dans l'autofocus

Pour obtenir plus d'informations et creuser encore plus profond, cliquez sur la loupe en haut du détail pour ajouter cette balise à une fenêtre de recherche.

 

2016-07 -06_tnt12. pngFenêtre de recherche affichant les résultats de la balise Elise.

 

Mes échantillons devraient être highlighed, montrant des échantillons qui ont été fournis de vos réseaux à Wildfire. (si vous ne voyez aucun résultat, cela signifie qu'une menace particulière n'a pas été observée à l'intérieur de votre réseau, ce qui est une bonne chose.)

 

Pour continuer à creuser pour plus d'informations sur cette menace, cliquez sur le hachage SHA256 à l'un des artefacts.

 

2016-07 -06_tnt13. pngÉcran de détails d'échantillon affichant des informations détaillées sur cet exemple de fichier soumis. Il montre le verdict, très suspecte, suspecte ainsi que des articles inintéressants.

 

Cet écran d'échantillon montre tellement de grandes informations.

 

Pour commencer, nous avons le verdict Wildfire, qui montre les logiciels malveillants.
Sont ensuite tous les hachages disponibles, ainsi que les détails du fichier.
Il ya même un lien vers VirusTotal, pour plus d'informations de VirusTotal sur ce fichier.

Suivant est la zone d'analyse dynamique Wildfire, où vous voyez tous les Windows 7 et Windows XP Virtual sandbox résultats.

 

Tous les comportements de fichier sont documentés ici. Ils sont répartis en 3 catégories:

  • Articles inintéressants (gris),
  • Articles suspects (orange)  
  • Articles hautement suspects (rouge)

Vous pouvez cliquer sur chacune des catégories d'activité pour obtenir plus d'informations, mais pour cet exemple, nous allons choisir l' activité DNS pour voir plus d'informations.

 

2016-07 -06_tnt14. pngDétail et options de l'activité DNS.

 

Dans cet écran. vous voyez le détail de l'activité DNS.
Il est divisé en nombre de: Bénin (#B), malveillant (#M) et de la grisaille (#G), ainsi que la requête DNS, la réponse et le type. Remarquez comment le triangle rouge et Exclamaition point sont sur la première ligne?

Cette URL unique, www.vienclp.com, pour la recherche NXDOMAIN n'a pas vu beaucoup d'activité dans Wildfire. En fait, cela n'a été vu que 4 fois, mais dans tous ces cas, considérés comme malveillants. Il n'y avait pas de résultats bénins ou grisâtres.

 

Si vous voulez voir plus d'informations sur cette URL, cliquez sur la liste déroulante à droite (qui apparaît lorsque vous la souris sur le domaine), et sélectionnez "Domain and URL info..." Une nouvelle fenêtre apparaîtra avec toutes les informations de domaine et d'URL rassemblées en référence à cette URL.

 

2016-07 -06_tnt15. pngInformation détaillée d'URL et de domaine affichant l'histoire de Wildfire et de DNS passif.

 

Dans la nouvelle fenêtre, vous verrez des informations différentes.
Dans la zone supérieure (tronquée pour simplifier), vous voyez une URL classée comme Malware.
Plus bas, dans la zone d'historique DNS passive, vous voyez www.vienclp.com apparaître avec une réponse comme 58.158.177.102, pour 21 comtes. Ce type d'activité est normalement l'activité de commande et de contrôle. Ce type d'activité vaut la peine de rechercher à l'intérieur de vos journaux de pare-feu pour voir s'il ya eu un trafic vers cette adresse IP, peut-être montrant le trafic indésirable de votre réseau.
Cliquez sur fermer pour fermer cette fenêtre.

 

2016-07 -06_tnt16. pngOption Exporter la liste.

 

Une autre option que vous avez est l'ajout de ce domaine à une liste d'exportation.

 

Cliquez sur le menu déroulant à gauche de l'URL, puis sur Ajouter à exporter la liste, puis tapez un nom ou sélectionnez un nom d'exportation si vous avez déjà créé une nouvelle liste d'exportation. Appuyez sur ENTRÉE. Vous obtiendrez une confirmation verte que l'élément a été ajouté avec succès à la liste d'exportation.
Je vais couvrir plus d'exportations vers la fin de cet article.

 

Chercheur

Si vous effectuez plus d'un rôle de chercheur, et voulez recueillir plus d'informations, faites défiler vers le bas à la section d'activité de connexion et développez.

 

2016-07 -06_tnt17. pngSection d'activité de connexion de l'échantillon Elise que nous regardions.

 

Si vous regardez à l'intérieur de la zone d'activité de connexion, il peut vous aider à comprendre ce processus a été d'essayer d'accéder à un emplacement spécifique.


Vous verrez que l'activité très suspecte se connectant via TCP à 113.10.222.151:80 à HK (Hong Kong). Il y avait 5 connexions, tous les malwares réputés. Ce serait une grande adresse IP pour rechercher également vos journaux pour des connexions similaires.
Dans cet exemple, il n'y a pas de processus parent répertorié, mais s'il y en avait, vous pouvez ajouter le nom du processus à une autre recherche et Rechercher ce processus en exécutant n'importe quel autre fuction.

 

Exporter pour créer des politiques de sécurité

Comme indiqué précédemment, vous pouvez collecter une liste d'éléments exportables à exporter, puis les importer dans le pare-feu de Palo Alto Networks pour les utiliser dans les stratégies de sécurité pour bloquer le trafic.
Pour ce faire, accédez aux sections exportations à gauche de l'autofocus.

 

2016-07 -06_tnt18. pngLa section des exportations montrant les options pour les exportations. 

 

J'ai créé Export-1, comme une étiquette plus tôt, dont il a 1 entrée répertoriée.
Pour voir ce qui se trouve dans la liste, cliquez sur le nom de l'étiquette-Export-1.

2016-07 -06_tnt19. pngExportez les détails pour "Export-1" affichant les éléments ajoutés et les options.

 

Vous pouvez voir la section et la valeur des données à exporter.
Si toutes les informations semblent bonnes à exporter, cliquez pour exporter tous les 1 éléments, et une nouvelle fenêtre s'affiche.

2016-07 -06_tnt20. pngExporter la fenêtre, en affichant les options disponibles. L'option pour "formaté pour la liste de blocage Pan-OS" est une belle à avoir.

 

La fenêtre exporter vers fichier affiche les options à exporter.
Si vous voulez que ce soit pour une liste de blocage, assurez-vous de choisir formaté pour Pan-OS liste de blocage.
Si vous souhaitez également des métadonnées, assurez-vous de sélectionner Exporter les métadonnées.
Puis cliquez sur Exporter pour exporter les données.  Un. Fichier CSV sera sauvegardé dans le navigateur.

Vous avez également une option pour supprimer des éléments dans la liste.

 

 

Merci pour la lecture! J'espère que cela vous a aidé à comprendre comment utiliser autofocus en tant que premier intervenant ou en tant que chercheur pour recueillir plus d'informations.

 

Nous saluons tous les commentaires, commentaires et suggestions dans la section commentaires ci-dessous.

 

Restez en sécurité!
Joe Delio
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClTxCAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language