Command-and-Control (C2) FAQ
Resolution
Eine neue Kategorie wurde hinzugefügt, URL-Filterung. Diese neue Kategorie werden "Command and Control", weitere Besonderheiten aus der Malware-Kategorie zu brechen.
Die volle Funktionalität, die die Live-Kategorisierung von C2-URLs ist, erfolgt am Mittwoch, 25. Oktober, 2017.
Hinweis: Administratoren sollten ihre Befehls-und Kontrollkategorie so einstellen, dass Sie sofort blockiert werden .
Unten stehend finden Sie eine FAQ über die Command-and-Control-Kategorie.
Geschützt wir waren nicht bereits vor C2?
Ja, haben Sie immer von C2 geschützt worden. Zuvor war dies innerhalb von Malware kategorisiert.
Was ist der Unterschied zwischen Malware und C2 und warum sollte mich das interessieren?
Palo Alto Networks hat Besonderheiten aus der Malware-Kategorie mit C2 gebrochen. Malware ist in der Regel schädliche Inhalte, ausführbare Dateien, Skripts, Viren und Code, der versucht, durch Ihr Netzwerk von externen an internen geliefert werden. Diese bösartige Versuche sind von der Firewall blockiert. Mit C2 versuchen Endpunkte, extern auf remote-Servern zu verbinden. Diese Verbindungen bestehen aus in-und auswendig. Wieder, blockiert die Firewall die Verbindung zu remote-Servern.
Sicherheitsanalysten reagiert jedoch anders auf diese zwei Kategorien. Für Malware werden Analysten einigermaßen erkennen, dass die Bedrohung durch ihre Palo Alto Networks Firewall gestoppt wurde und der Endpunkt nicht kompromittiert wurde. Mit C2 hat ein Endpunkt am ehesten gefährdet weil es versucht, einen remote-Server kontaktieren und Sanierung notwendig für diesen bestimmten Endpunkt sowie eine Bewertung für seitliche Bewegung/Infektion ist.
Was passiert, wenn ich nicht die Kategorie C2 Block als Aktion ändern?
Wenn Sie die Standard-Aktion der Kategorie C2, blockieren nicht ändern, alle versuchte Verbindungen zu C2-bezogene URLs dürfen zu durchlaufen und zu verbinden.
Warum ist C2 nicht standardmäßig auf BLOCK festgelegt?
Die Funktionalität für Palo Alto Networks, die Standard-Aktion für das Standardprofil Block nur erhältlich in PAN-OS-Version 8.0.2 und später mit Inhaltsversion 738 oder neuere ist einzustellen. Alle Kunden mit PAN-OS 8.0.2+ mit Inhalt 738 + werden ihre Standard-Aktion automatisch auf BLOCK in das Standardprofil festgelegt haben. Diese Funktion ist nicht verfügbar in frühen Versionen von PAN-OS. (Bitte beachten Sie, dass für PAN-OS 8.0.2+ Kunden, bitte überprüfen Sie um sicherzustellen, dass die Aktion richtig zu BLOCK innerhalb der Standard-Profil aktualisiert worden ist.)
Wenn Sie mehrere URL-Filterung Sicherheitsprofile haben, müssen Sie die Standard-Aktion Block für jedes dieser Profile aktualisieren. Dies gilt für alle Versionen von PAN-OS.
Wie wird C2 definiert?
Command and Control wird von Palo Alto Networks als URLs definiert und Domänen von Malware verwendet und/oder kompromittierte Systeme, heimlich mit einem Angreifer Remoteserver böswillige Befehle oder ziehen Daten erhalten zu kommunizieren.
Wie sieht der Zeitplan für die Freigabe der Kategorie C2?
Kategorie-Inhalts-Update ist derzeit auf die URL-Filterung-Datenbank. Die Command-and-Control-Kategorie wird auf der Administrator-Verwaltungskonsole sichtbar sein aber wird nicht funktionsfähig sein. Während dieser Zeit können Sie die Aktion aktualisieren, um für die Befehls-und kontrollKATEGORIE zu blockieren. Wenn Funktionalität zur Verfügung steht, werden alle C2-URLs kategorisiert und blockiert (wenn eingerichtet um block) durch die URL-Filterung-Funktionalität.
Wann wird die Kategorie C2 funktionsfähig sein?
Die volle Funktionalität, die die Live-Kategorisierung von C2-URLs ist, wird am Mittwoch, 25. Oktober , 2017 , auftreten. Dies bedeutet, dass Sie sehen und blockieren (wenn Richtlinien und Profile aktualisiert wurden) URLs auf Ihre Firewalls als C2 eingestuft.
Kann ich die Kategorie C2 vor vollen Funktionsumfang testen?
Ja, testen Sie Ihren C2 Firmenprofile / release-Politik vor volle Funktionalität. Sie können diese URL verwenden, um die C2-Kategorisierung zu testen: https://URLFiltering.paloaltonetworks.com/Test-Command-and-Control Wenn das Profil (s)/Policies korrekt eingerichtet ist, dann wird der Zugriff auf die URL von Ihrer Firewall blockiert und protokolliert.
Gilt dies für PAN-DB und Brightcloud für URL-Filterung?
Nein, dies ist nur für Pan-DB-URL-Filterung und gilt derzeit nicht für die brightcloud- URL-Filterung.
Hinweis: Es wird empfohlen, diese FAQ für Timeline-Updates zu abonnieren, wenn verfügbar.
Siehe auch
Stellen Sie sicher, dass Command and Control von PAN-DB URL-Filterung erkannt wird
Von Kelvin Kwan