Conseils astuces & : Comment utiliser la base de menace et de la recherche de numéros de CVE
Resolution
Conseils & astuces cette semaine explique comment faire pour utiliser la base de données de la menace, de regarder les journaux de la menace et la recherche de numéros de CVE. Si vous débutez dans les journaux de menace à l’intérieur de Palo Alto Networks WebGUI, nous allons vous montrer les nombreuses façons d’obtenir plus de détails sur ces menaces de la :
- Journaux de la menace (moniteur > menace)
- Menace Vault (https://threatvault.paloaltonetworks.com/)
Nous allons également parler de ce qui est CVE.
Journaux de menace
Commençons par les journaux de la menace, qui se trouve à l’intérieur de l’interface WebGUI > moniteur > onglet menace. Dans les journaux de la menace, vous verrez les événements comprises entre informatif et critique dans la sévérité. Voir l’exemple ci-dessous, où nous allons utiliser un événement de haute gravité à titre d’exemple.
- Tout d’abord, cliquez sur la loupe dans la première colonne les journaux pour afficher la vue détaillée du journal, tout comme dans les journaux de trafic. Cet affichage vous montre les détails de la menace. À l’intérieur les détails sur la menace, vous verrez le Type de menace, le nom de la menace, la menace ID, gravité, comte de répéter, URL et Pcap ID. S’il vous plaît enregistrer l’ID de la menace pour obtenir plus d’informations plus tard (33273).
- Ensuite, cliquez sur est le nom de la menace elle-même. Dans cet exemple, il est NTP réservés Mode déni de Service vulnérabilité. Cela montre le popup de détails sur la menace, ce qui montre encore plus d’informations, notamment : nom, ID menace, Description, gravité, CVE nombre, Bugtraq ID, ID du vendeur (le cas échéant) et référence HTML lien vers l’info CVE. Vous pouvez également exemptés des profils de sécurité ou des adresses IP dans la partie inférieure de la fenêtre.
- Enfin, vous pouvez filtrer les entrées spécifiques, comme les journaux ont tendance à afficher les journaux d’information et faible menace, par défaut. Pour filtrer, cliquez d’abord sur la gravité et dans la fenêtre de recherche en haut de l’écran, changer le niveau de gravité de ce que vous voudriez voir. Dans l’exemple, nous avons changé le niveau à (eq de gravité élevé) pour filtrer les événements de gravité « élevé ». Les 5 niveaux de gravité sont informationnel, faible, moyenne, élevée et critique.
Voûte de menace
Alternativement, vous avez la possibilité de voir toutes les mêmes informations sur une menace spécifique si vous visitez: https://threatvault.paloaltonetworks.com et recherchez l'ID de la menace, le nom ou le numéro CVE. À l’aide de l’exemple précédemment, vous pouvez rechercher sur 33273 (ou utilisez le numéro CVE pour rechercher).
Cliquez sur le nom de Signature pour ouvrir les détails de la Signature, qui montre ce qui suit : Description, références, gravité, catégorie, Action par défaut, première version dernière mise à jour et nombre CVE.
Remarque: lors de la recherche à l'intérieur de la voûte de menaces, vous avez la possibilité de rechercher dans "types". Par défaut, la recherche couvrira tous les types mais vous aussi étroit vers le bas pour « Anti-spyware » ou « Signatures Antivirus » et plusieurs autres à rechercher à l’intérieur de la voûte de la menace.
CVE
La base de données Common Vulnerability and Exposures (CVE) fournit des identificateurs communs uniques (appelées CVE-IDs, noms CVE CVE-numéros) aux vulnérabilités de sécurité connues informations utilisable par l’industrie de la sécurité comme une norme permettant d’identifier vulnérabilités. Chaque identifiant CVE sur la liste CVE comprend un certain nombre CVE, une brève description de la faille de sécurité ou d’exposition et toutes les références pertinentes.
Voir aussi :
J’espère que cela vous permet d’obtenir plus familier avec le DB de menace et comment l’utiliser.
Comme toujours, nous nous félicitons tous les commentaires et les commentaires ci-dessous.
Restez en sécurité,
Joe Delio