オートフォーカスを使用する方法
Resolution
我々は、オートフォーカスの faq を持っているが、faq は、実際にツールを使用したり、オートフォーカスがどのように見えるかを表示する方法を示していません。
我々はすでに知っているオートフォーカスは、ネットワーク上の重要な脅威を発見し、迅速にターゲットの攻撃から商品の脅威を区別するためにセキュリティオペレータと最初のレスポンダによって使用することができる偉大な脅威インテリジェンスサービスです。
オートフォーカスを使用する方法:
さて、この偉大なツールを使用する方法に焦点を当てることができます。
オートフォーカスのメインダッシュボードビュー。
ダッシュ ボード
オートフォーカスのダッシュボードページにアクセスするには、訪問し、ログインしてください:
https://autofocus.paloaltonetworks.com
このダッシュボードは、超高速検索の脅威分析ツールとして設計されています。
ダッシュボードに表示される最初のものは、マルウェアのダウンロードセッションです。
この情報は3つのタブに分かれています: 私の組織、私の業界、 すべて。
脅威がさまざまな企業にどのように影響するかを理解するために、この区別を行うことが重要です。
既定では、組織が表示されます。
あなたがちょうど startng、またはあなたの環境で山火事を設定していない場合は、ここで何も表示されない場合があります。その場合は
、ビューを自分の業種またはすべてに切り替える ことができます。
マルウェアのダウンロードセッション領域内では、右上の時間帯が表示されます。
利用可能なオプションを示す期間。
この期間は選択可能で、次の項目が表示されます。
- 過去 7 日間
- 過去 30 日間
- 最後の90日
- 過去6ヶ月
- すべての時間
探している情報が多ければ多いほど、歴史的に見ることができ、トラブルシューティングや問題を解決したり、少なくともネットワークに何があったかを判断したり、野生で見られるようになります。
ダッシュボード内には、上部で選択した内容に応じて、より多くのカテゴリが表示されます。
[マイ組織] を選択すると、トップアプリケーション、ターゲット産業、およびトップマルウェアが表示されます。
トップアプリケーション、トップマルウェアやトップファイアウォールの画面。
トップアプリケーションとトップマルウェア を表示するには、私の業界を選択します。
トップアプリケーションとトップマルウェアの画面
[すべて] を選択すると、トップアプリケーション、ターゲット産業、およびトップマルウェアが表示されます。
トップアプリケーション、ターゲット産業とトップマルウェアの画面。
これらの領域は、脅威、業界、脅威を見ているトップファイアウォール、および見られているトップマルウェアに対して、どのアプリケーションが使用されているかを示すのに役立ちます。
引き続き、ソース/デスティネーションの国(選択可能)、およびワイルドにあるトップタグも表示されます。選択可能なオプションの [タグの種類の選択] をクリックして、別のタグの種類を選択することもできます : Unit42、パブリック、プライベート、 情報。
ソース/デスティネーションの国だけでなく、トップタグとタグの種類のオプション。
ダッシュボードの最後には、アラートのログと、最近のユニット42研究ニュースフィードが表示されます。
アラートログと最近のユニット42研究フィード。
警告は、画面の左側にある「警告」を選択することで設定できます。詳細は以下をご覧ください。
最近のユニット42の研究の下で、あなたは、パロアルトのユニット42のブログのページにリンクされます見出しのいずれかをクリックすることができます。
アラートの表示
ダッシュボードの左側にある [検索] に、アラートが表示されます。
アラート > アラートログに、アラートのすべてのアラートが表示されます。
アラートログ内には、使用可能なすべてのアラートが表示されます。
時刻、SHA256 ハッシュ、関連付けられているタグ、タグスコープ、送信ステータス (野火) が表示されます。
あなたは、ログ、名前、タグ、ハッシュなどのあらゆる側面を検索することができます右上のクイック検索を実行することができます。 ほとんどすべては、より詳細な情報を提供するためにクリック可能です。
タグオプションを警告ログに記録します。
[アラート] 領域の任意のタグについて、タグ名の上にマウスポインタを置くと、この脅威、ヒット数、スコープ、最後のヒット数、およびこのタグを "投票" する機能があり、ネットワーク上でこの脅威を報告することができます。
[アラート] > [設定] オプションが表示されます。
内部のアラートは、[設定] タブです。
内部では、タグの種類に関するアラートオプション、(ドロップダウンを使用して) 実行するアクション、および構成可能な警告アクション (メールまたは web ページ) が表示されます。
どのようにオートフォーカスは助けることができる?
今、あなたはオートフォーカスに部品のすべてを知っているので、どのようにそれはあなたを助けるのですか?どのようにあなたの指先でこの情報のすべてを使用するのですか?
レッツは、最初のレスポンダは、最新の脅威のいずれかに最近、私たちの非常に独自のユニット42グループによって話を調査を開始するふりをしましょう。
例として、操作を議論するユニット42のブログを見てみましょうロータスブロッサム:
http://researchcenter.paloaltonetworks.com/2015/06/operation-lotus-blossom/
記事によると、これらの攻撃の特徴は:
"彼らは" 足がかりを得るために "エリーゼ" という名前のカスタムトロイの木馬のバックドアを使用する
このトロイの木馬についての詳細情報が必要な場合, オートフォーカスの内側, 左のタグのセクションに移動, とエリーゼのためのクイック検索を実行する. Alternitively には、タグとオートフォーカスに直接リンクを持つセクションがあるかもしれません。"エリーゼ" のクイック検索を示すタグセクション
あなたは、タグをクリックした場合, エリーゼ, その後、タグの詳細を示す新しいウィンドウが表示されます.
"エリーゼ" タグのタグの詳細。
新しいウィンドウの中には、タグの所有者、サンプルの # 見た、最後のヒット、タグクラス、ソース、最終更新、および投票数が表示されます。 また、すべてのプロセス名、DLL の呼び出しとその動作が含まれています。また、特定の動作を検索するためのアクション、およびオプションを投票し、レポートに含まれています。
wantto を読む場合は、この脅威についての記事へのリンクを "参照" セクションに移動します。
さらに深くオートフォーカスに掘る
詳細情報を取得し、さらに深く掘るには、詳細の上部にある虫眼鏡をクリックして、検索ウィンドウにこのタグを追加します。
エリーゼのタグの結果を示す検索ウィンドウ。
私のサンプルは、あなたのネットワークから野火に供給されているサンプルを示す、highlighed する必要があります。 (結果が表示されない場合は、ネットワーク内で特定の脅威が見られていないことを意味します。
この脅威に関する情報を掘り進めるには、いずれかのアイテムに対して SHA256 ハッシュをクリックします。
この提出されたサンプルファイルの詳細情報を示すサンプルの詳細画面。これは、非常に疑わしいだけでなく、つまらないアイテムとして、容疑者の評決を示しています。
このサンプル画面には、非常に大きな情報が表示されます。
開始するには、我々はマルウェアを示す山火事の評決を、持っている。
次に、利用可能なすべてのハッシュだけでなく、ファイルの詳細です。
このファイルの VirusTotal からの詳細については、さらに VirusTotal へのリンクがあります。
次に、すべての windows 7 と windows XP の仮想サンドボックスの結果を参照してください山火事の動的分析領域です。
すべてのファイルビヘイビアーはここに記載されています。彼らは3つのカテゴリに分かれています:
- つまらないアイテム (グレー)、
- 疑わしいアイテム (オレンジ)
- 非常に疑わしいアイテム (赤)
各アクティビティカテゴリをクリックすると詳細情報が表示されますが、この例では、DNS のアクティビティを選択して詳細情報を確認します 。
DNS アクティビティの詳細とオプション。
この画面で。DNS アクティビティの詳細が表示されます。
これは、数に分割されます: 良性 (#B), 悪意のある (#M) と Greyware (#G), だけでなく、DNS のクエリ, 応答とタイプ. 赤い三角形と Exclamaition ポイントが最初の行にどのように表示されるかを確認します。
NXDOMAIN ルックアップのためのこの1つの URL、www.vienclp.com は、山火事で多くの活動を見ませんでした。実際には、これは4回だけ見られているが、これらのすべてのケースでは、悪意のあると判断した。良性でも greyware 結果でもありませんでした。
この1つの url に関する詳細情報を表示する場合は、右側のドロップダウンをクリックし (ドメインの上にマウスを表示した場合)、[ドメインと url の情報...] を選択します。この url を参照して、すべてのドメインと url 情報が収集された新しいウィンドウが表示されます。
ワイルドファイアとパッシブ DNS の履歴を示す詳細な URL とドメイン情報。
新しいウィンドウでは、別の情報が表示されます。
上の領域 (簡単に切り捨てられます) では、マルウェアとして分類された URL を表示します。
さらに、パッシブ DNS の履歴領域では、www.vienclp.com は21 カウントのために、58.158.177.102 として応答を表示します。この種類のアクティビティは、通常、コマンドとコントロールのアクティビティです。このタイプのアクティビティは、ファイアウォールログ内を検索して、この IP アドレスへのトラフィックがあるかどうかを確認し、ネットワークから不要なトラフィックを表示する価値があります。
[閉じる] をクリックしてウィンドウを閉じます。
リストのエクスポートオプション。
もう1つのオプションは、このドメインをエクスポートリストに追加することです。
URL の左にあるドロップダウンをクリックし、[エクスポートリストに追加] をクリックしてから、名前を入力するか、またはエクスポート名を選択します (既に新しいエクスポートリストを作成している場合)。Enter キーを押します。この項目がエクスポートリストに正常に追加されたことを示す緑色の確認が得られます。
私はこの記事の終わりの近くの輸出高をカバーする。
研究員
より多くの研究者の役割を実行していて、より多くの情報を収集する場合は、[接続アクティビティ] セクションまでスクロールして展開します。
私たちが見ていたエリーゼのサンプルの接続アクティビティセクション。
[接続アクティビティ] 領域内を見ると、特定の場所にアクセスしようとしていたプロセスを理解するのに役立ちます。
あなたは、113.10.222.151 に TCP 経由で接続する非常に疑わしい活動が表示されます: HK (香港) で80。5つの接続は、すべてのマルウェアとみなされた。これはまた同様の関係のためのあなたの丸太を捜す大きい IP アドレスである。
この例では、親プロセスがリストされていませんが、存在する場合は、別の検索にプロセス名を追加し、他の fuction を実行しているプロセスを検索することができます。
セキュリティポリシーを作成するためのエクスポート
前述のように、エクスポート可能な項目の一覧を収集してから、セキュリティポリシーでトラフィックをブロックするためにパロアルトネットワークファイアウォールにインポートすることができます。
これを行うには、オートフォーカスの左側にあるエクスポートのセクションに移動します。
エクスポートのオプションを示す [エクスポート] セクション。
私はそれが1エントリが記載されている以前のラベルとして、エクスポート-1 を作成しました。
リストの内容を確認するには、ラベル名-エクスポート-1 をクリックします。
追加された項目とオプションを表示する "export-1" の詳細をエクスポートします。
エクスポートするデータのセクションと値を確認できます。
すべての情報をエクスポートする場合は、クリックしてすべての1つのアイテムをエクスポートすると、新しいウィンドウがポップアップ表示されます。
[エクスポート] ウィンドウで、使用可能なオプションを表示します。「汎 OS ブロックリスト用にフォーマット」のオプションは、持っている素晴らしいものです。
[ファイルにエクスポート] ウィンドウには、エクスポートするオプションが表示されます。
ブロックリストに対してこれが必要な場合は、「パン OS ブロックリストにフォーマット」を選択してください。
メタデータも必要に応じて、[メタデータのエクスポート] を選択してください。
[エクスポート] をクリックしてデータをエクスポートします。 A。CSV ファイルはブラウザに保存されます。
また、リスト内のアイテムを削除するオプションもあります。
読んでくれてありがとう!私はこれがどのように最初のレスポンダとしてオートフォーカスを使用するか、より多くの情報を収集する研究者として理解に役立っている願っています。
私たちはすべてのコメントを歓迎, フィードバックと提案下のコメント欄で.
ご安心ください!
ジョー Delio