如何使用自动对焦
Resolution
我们有一个自动对焦的常见问题解答, 但 faq 没有告诉你如何实际使用该工具或显示你的自动对焦的样子.
我们已经知道, 自动对焦是一个巨大的威胁情报服务, 可以被安全操作员和第一反应者用来发现他们的网络上的重要威胁, 并迅速区分商品威胁与目标攻击。
如何使用自动对焦:
现在, 让我们专注于如何使用这个伟大的工具。
自动对焦主仪表板视图。
仪表板
要访问自动对焦仪表板页面, 请访问并登录:
https://autofocus.paloaltonetworks.com
此仪表板已被设计为超快速搜索威胁分析工具。
您将在仪表板中看到的第一件事是恶意软件下载会话。
此信息分为3个选项卡: 我的组织, 我的行业,和所有.
重要的是要有这种区别, 以帮助您了解威胁如何影响不同的公司.
默认情况下, 您将看到我的组织.
如果你只是 startng, 或者没有在你的环境中设置野火, 那么你可能在这里看不到任何东西。
如果是这种情况, 您可能需要将视图切换到我的行业或所有.
在恶意软件下载会话区域内, 您将看到右上角的时间段:
显示可用选项的时间段。
此时间段是可选的, 您可以看到以下内容:
- 过去 7 天
- 过去的 30 天
- 最近90天
- 最近6月
- 所有的时间
您要查找的信息越多, 您就能在历史上看到的越多, 就可以帮助您解决问题, 或者至少确定您的网络上有多少时间, 或者在野外看到了什么。
在仪表板内, 您还将看到更多类别, 具体取决于您在顶部选择的内容:
选择 "我的组织" 可查看顶级应用程序、目标行业和顶级恶意软件.
顶级应用程序、顶级恶意软件和顶级防火墙屏幕。
选择我的行业, 以查看顶级应用程序和顶级恶意软件.
顶级应用程序和顶级恶意软件屏幕
选择 "全部"可查看顶级应用程序、目标行业和顶级恶意软件.
顶级应用程序, 目标行业和顶级恶意软件屏幕。
这些区域可以帮助说明哪些应用程序正在被用于威胁、行业、顶级防火墙看到的威胁以及已看到的顶级恶意软件。
继续, 您还将看到源/目标国家(可选), 以及在野外的顶级标记. 还可以通过为可选选项选择 "选择标签类型" 来选择不同的标记类型 : Unit42、公共、私有和信息.
源/目标国家以及顶级标签和标记类型选项。
最后在仪表板上, 您将看到警报日志和最近的42单元研究新闻提要。
警报日志和最近的42单元研究提要。
通过在屏幕左侧选择 "警报" 可配置警报。下面的详细信息。
根据最近42单元的研究, 你可以点击任何标题, 这将链接到帕洛阿尔托的42单元博客页面。
查看警报
在仪表板的左侧, 在 "搜索" 下, 您将看到警报.
警报 > 警报日志, 显示警报日志中的所有警报。
在警报日志中, 您将看到所有可用的警报。
您将看到时间、SHA256 哈希、与之关联的标记、标记范围和发送状态 (野火)。
您可以在右上角执行快速搜索, 您可以在其中搜索日志、名称、标记、哈希等的各个方面. 几乎所有的东西都可以点击提供更详细的信息。
警报日志中的标记选项。
对于 "警报" 区域中的任何标记, 请将鼠标悬停在标记名称上, 以查看有关此威胁、命中次数、范围、最后命中次数的更多信息, 以及是否有能力 "投票" 此标记, 并在网络上报告此威胁。
警报 > 显示可用选项的设置。
内部警报是 "设置" 选项卡.
在内部, 您可以看到标记类型的警报选项、您想要的操作 (使用下拉列表) 以及可配置的警报操作 (通过电子邮件或网页).
自动对焦如何帮助?
既然你已经知道了自动对焦的所有部分, 它对你有什么帮助呢?如何在指尖使用所有这些信息?
让我们假设你是第一个回应者, 开始调查最近我们自己的42单元小组讨论的最新威胁之一。
举个例子, 让我们来看看42单元的博客讨论莲花花的运作:
http://researchcenter.paloaltonetworks.com/2015/06/operation-lotus-blossom/
根据文章, 这些攻击的特点是:
"他们使用一个自定义木马后门命名为" 艾丽丝 ", 以获得立足点 "
如果您希望了解有关此特洛伊木马程序的更多信息, 请在 "自动对焦" 中, 转到左侧的 "标签" 部分, 然后快速搜索爱丽丝. Alternitively, 可能有一个部分与标签和一个链接直接到自动对焦。标签部分显示快速搜索 "艾丽丝"
如果你点击标签, 艾丽丝, 你就会看到一个新的窗口, 显示标签的细节。
标签细节的 "艾丽丝" 标签。
在新窗口中, 您可以看到标记所有者、所看到的示例、上次命中、标记类、源、最后更新以及选票数。 它还包含所有进程名称、DLL 调用及其行为。还包括搜索特定行为的操作, 以及投票和报告的选项。
如果您想阅读更多内容, 请转到 "参考" 部分, 指向有关此威胁的文章的链接。
更深入地挖掘自聚焦
若要获取更多信息并进一步挖掘, 请单击明细数据顶部的放大镜, 将此标记添加到搜索窗口中。
显示 "艾丽丝" 标签结果的搜索窗口。
我的样品应该是 highlighed, 显示从你的网络提供给野火的样品. (如果看不到结果, 则表示您的网络中没有看到特定的威胁, 这是一件好事。
要继续挖掘有关此威胁的信息, 请单击 SHA256 哈希到其中一个工件。
示例详细信息屏幕, 显示有关此提交的示例文件的详情。它显示的判决, 高度怀疑, 嫌疑人和无趣的项目。
这个示例屏幕显示了这么多伟大的信息。
首先, 我们有野火的判决, 显示恶意软件.
接下来是所有可用的哈希以及文件详细信息。
甚至还有一个指向 VirusTotal 的链接, 以了解此文件 VirusTotal 中的更多信息.
接下来是野火动态分析区域, 在这里您可以看到所有的 windows 7 和 windows XP 虚拟沙盒结果。
此处记录了所有文件行为。它们分为3类:
- 无趣的项目 (灰色),
- 可疑项目 (橙色)
- 高度可疑项目 (红色)
您可以单击每个活动类别以获取更多信息, 但对于本示例, 我们将选择DNS 活动以查看更多信息.
DNS 活动详细信息和选项。
在这个屏幕上。您将看到 DNS 活动的详细信息。
它被分成: 良性 (#B)、恶意 (#M) 和 Greyware (#G) 以及 DNS 查询、响应和类型. 注意, 红色三角形和 Exclamaition 点是如何在第一行上的?
这一 URL, www.vienclp.com, 为 NXDOMAIN 查找没有看到大量的活动在野火. 事实上, 这只被看到了4次, 但在所有这些情况下, 被认为是恶意的. 没有良性或 greyware 的结果。
如果要查看此 URL 的详细信息, 请单击右侧的下拉列表 (当鼠标悬停在域上时出现), 然后选择 "域和 URL 信息..."。将出现一个新窗口, 其中显示了在引用此 URL 时收集的所有域和 URL 信息。
详细的 URL 和域信息, 显示野火和被动 DNS 历史记录。
在新窗口中, 您将看到不同的信息。
在顶部区域 (为简化而截断), 您会看到归类为恶意软件的 URL。
此外, 在被动 DNS 历史区域中, 您会看到www.vienclp.com 以58.158.177.102 的响应显示, 21 计数. 这种类型的活动通常是命令和控制活动。此类型的活动值得在防火墙日志中进行搜索, 以查看是否有此 IP 地址的任何通信量, 可能显示网络中不需要的通信量。
单击 "关闭"关闭该窗口.
导出列表选项。
另一个选项是将此域添加到导出列表中。
单击 URL 左侧的下拉菜单, 然后单击 "添加到导出列表", 然后键入名称或选择导出名称 (如果已经创建了新的导出列表)。按 enter 键。您将得到一个绿色确认, 该项已成功添加到导出列表中。
在这篇文章的末尾, 我将更多地报道出口.
研究员
如果您要执行更多的研究员角色, 并且要收集更多信息, 请向下滚动到 "连接活动" 部分并展开。
我们正在看的艾丽丝样品的连接活动部分。
如果您查看连接活动区域内的内容, 它可以帮助您了解正在尝试访问特定位置的进程。
您将看到, 高度可疑的活动, 通过 TCP 连接到113.10.222.151:80 在香港 (港)。有5连接, 所有被认为是恶意软件。这将是一个伟大的 IP 地址, 也搜索您的日志中类似的连接。
在此示例中, 没有列出父进程, 但如果存在, 则可以将进程名称添加到另一个搜索中, 并搜索执行任何其他功能的进程.
导出以创建安全策略
如前所述, 您可以收集要导出的可导出项的列表, 然后导入帕洛阿尔托网络防火墙, 以便在安全策略中使用以阻止通信。为此
, 请转到 "自动对焦" 左侧的 "导出" 部分.
用于显示导出选项的导出部分。
我创建了 export-1, 作为一个标签前面, 它有1条目列出。
要查看列表中的内容, 请单击标签名称-export-1.
导出 "export-1" 的详细信息, 显示添加的项目和选项。
您可以看到要导出的数据的节和值。
如果所有信息都显示良好, 请单击导出所有1项, 然后弹出一个新窗口.
导出窗口, 显示可用选项。"为泛 OS 阻止列表设置格式" 选项是一个不错的选择。
"导出到文件" 窗口显示要导出的选项.
如果要将此项用于阻止列表, 请确保为 " PAN OS" 阻止列表选择 "格式化".
如果还需要元数据, 请确保选择导出元数据.
然后单击 "导出" 导出数据. 一个.CSV 文件将保存到浏览器中。
您还可以选择删除列表中的项目。
谢谢你的阅读!我希望这有助于你了解如何使用自动对焦作为第一个应答者或作为研究员收集更多的信息。
我们欢迎下面评论部分中的所有评论、反馈和建议。
保持安全!
乔罗西