Consejos y trucos: Cómo utilizar la base de datos de amenaza y buscar números CVE
Resolution
Consejos y trucos esta semana se describe cómo utilizar la base de datos amenaza, mirar los logs de amenaza y búsqueda para los números de la CVE. Si eres nuevo en los registros de amenaza dentro de la WebGUI de Palo Alto Networks, le mostraremos las muchas maneras de conseguir más detalles sobre esas amenazas de la:
- Registros de la amenaza (Monitor > amenaza)
- Bóveda de la amenaza (https://threatvault.paloaltonetworks.com/)
También hablamos sobre qué es CVE.
Registros de la amenaza
Vamos a empezar con los registros de la amenaza, que se encuentra dentro del WebGUI > Monitor > ficha de amenaza. Dentro de los registros de la amenaza, a ver eventos que van desde los informativos a crítico en gravedad. Vea el ejemplo abajo, donde vamos a utilizar un evento de alta gravedad como ejemplo.
- En primer lugar, haga clic en la lupa de la primera columna de los registros para mostrar la vista detallada de registro, al igual que en los registros de tráfico. Esta vista muestra los detalles de la amenaza. Dentro de los detalles de la amenaza, verás el tipo de amenaza, el nombre de la amenaza, la amenaza ID, severidad, cuenta repetir, URL y Pcap ID. Anote la identificación de la amenaza para obtener más información (33273).
- A continuación, haga clic en es el nombre de la amenaza sí mismo. En este ejemplo, es NTP reservado modo servicio vulnerabilidad de denegación de. Esto muestra la ventana emergente de detalles de la amenaza, que muestra más información, incluyendo: nombre, amenaza ID, descripción, severidad, CVE número, Bugtraq ID, ID de proveedor (si existe) y referencia HTML link a la info de la CVE. Usted puede también perfiles de seguridad exenta o direcciones IP en la parte inferior de la ventana.
- Finalmente, usted puede filtrar entradas específicas, como los registros tienden a mostrar registros de información y bajo amenaza, de forma predeterminada. Para filtrar, haga clic primero sobre la gravedad y en la ventana de búsqueda en la parte superior de la pantalla, cambiar el nivel de gravedad a lo que gustaría ver. En el ejemplo, hemos cambiado el nivel a (eq de gravedad alta) para filtrar eventos de gravedad 'alta'. Los 5 niveles de gravedad son informativo, bajo, medio, alto y crítico.
Bóveda de amenaza
Alternativamente, usted tiene la capacidad de ver toda la misma información acerca de una amenaza específica si usted visita: https://threatvault.paloaltonetworks.com y buscar en el identificador de amenaza, nombre o Número CVE. Utilizando el ejemplo de antes, usted puede buscar en 33273 (o utilice el número CVE para buscar).
Haga clic en el nombre de la firma para abrir los detalles de la firma, que muestra lo siguiente: Descripción, referencias, gravedad, categoría, acción por defecto, primera versión y la última actualización y Número CVE.
Nota: mientras busca dentro de la bóveda de la amenaza, usted tiene la capacidad de buscar dentro de "tipos". Por defecto, la búsqueda abarcará todos los tipos sino que también estrecha hasta "AntiSpyware" o "Firmas de Antivirus" y otros de búsqueda dentro de la bóveda de la amenaza.
CVE
La base de datos común de vulnerabilidad y riesgos (CVE) proporciona identificadores únicos comunes (llamados identificadores de CVE, CVE-nombres o números de CVE) para vulnerabilidades de seguridad de la información que pueden utilizarse por la industria de seguridad como un estándar para la identificación de vulnerabilidades. Cada identificador CVE en la lista CVE incluye un número CVE, una breve descripción de la vulnerabilidad de seguridad o de exposición y las referencias pertinentes.
Vea también:
Espero que esto le ayuda a obtener más familiarizados con la DB de la amenaza y cómo usarlo.
Como siempre, le invitamos a todos los comentarios y sugerencias más abajo.
Mantente seguro,
Joe Delio