FAQ de commande et de contrôle (C2)

FAQ de commande et de contrôle (C2)

74844
Created On 09/25/18 19:30 PM - Last Modified 06/13/23 04:40 AM


Resolution


Une nouvelle catégorie a été ajoutée au filtrage d’URL.  Cette nouvelle catégorie sera «-commande » de sortir plus loin les spécifications dans la catégorie de logiciels malveillants. 

 

Full fonctionnalité, qui est la catégorisation en direct des URL C2, se produit le mercredi 25 octobre 2017.

 

Remarque: les administrateurs doivent définir leur catégorie de commande et de contrôle pour bloquerimmédiatement.  

 

Voici une FAQ sur la catégorie de commande et de contrôle.

 

Nous n’étions pas déjà protégés de C2 ?

Oui, vous avez toujours été protégé de C2.  Auparavant, cela a été classé dans les logiciels malveillants.

 

Quelle est la différence entre les logiciels malveillants et C2 et pourquoi devrais-je m’y intéresser ?

Palo Alto Networks a éclaté au sein de la catégorie de logiciels malveillants avec C2, les spécifications du.  Malware est généralement contenu malveillant, exécutables, scripts, les virus et le code qui tente d’être livrés par le biais de votre réseau d’externe à interne.  Ces tentatives malveillantes sont bloqués par le pare-feu.  Avec C2, points de terminaison sont tente de se connecter à l’extérieur à des serveurs distants.  Ces connexions sont faîtes à l’envers.  Encore une fois, le pare-feu bloque la connexion à ces serveurs distants. 

 

Toutefois, les analystes de sécurité réagira différemment à ces deux catégories distinctes. Pour les logiciels malveillants, les analystes reconnaîtra raisonnablement que la menace a été arrêtée par leur pare-feu de réseaux de Palo Alto et le point de terminaison n’a pas été compromise.  Avec C2, un point de terminaison a très probablement compromise parce qu’il essaie de communiquer avec un serveur distant et remise en état est nécessaire pour ce point de terminaison particulier ainsi qu’une évaluation pour le mouvement latérale ou d’une infection.    

 

Que se passe-t-il si je ne change pas la catégorie C2 au bloc comme l’action ?

Si vous ne modifiez pas l’action par défaut de la catégorie C2 pour bloquer, toutes les connexions tentatives aux URL liées à C2 pourront passer par et se connecter. 

 

Pourquoi C2 se trouve pas au bloc par défaut ?

La fonctionnalité de Palo Alto Networks définir l’action par défaut pour le profil par défaut au bloc est uniquement disponible en version 8.0.2 PAN-OS et plus tard avec la version de contenu 738 ou plus récent.  Tous les clients exécutant PAN-OS 8.0.2+ avec contenu 738 + auront leur action par défaut automatiquement la valeur bloc dans le profil par défaut.  Cette fonctionnalité n’est pas disponible pour les premières versions du PAN-OS. (Veuillez noter que pour les clients de 8.0.2+ PAN-OS, s’assurer que l’action a été correctement mis à jour au bloc dans le profil par défaut.)

 

Si vous avez plusieurs profils de sécurité filtrage d’URL, vous devez mettre à jour l’action par défaut à bloc pour chacun de ces profils. Cela vaut pour toutes les versions de PAN-OS.  

 

Comment définit-on la C2 ?

Commandement et de contrôle est défini par le Palo Alto Networks en tant qu’URL et domaines utilisés par des logiciels malveillants ou compromis systèmes subrepticement communiquer avec le serveur distant de l’attaquant pour recevoir des commandes malveillantes ou exfiltrer données.

 

Quel est le calendrier pour la libération de la catégorie C2 ?

Mise à jour de contenu de catégorie est actuellement disponible sur la base de données de filtrage d’URL.  La catégorie de commande et de contrôle sera visible sur la console de gestion de l’administrateur, mais ne sera pas fonctionnelle.  Pendant ce temps, vous pouvez mettre à jour l'action à bloquer pour la catégorie commande et contrôle.   Lorsque la fonctionnalité est disponible, toutes les URL de C2 va être catégorisés et bloqué (si configuré pour bloquer les) par la fonctionnalité de filtrage des URL. 

 

Quand la catégorie C2 sera fonctionnel ?

Full fonctionnalité, qui est la catégorisation en direct des URL C2, se produira le mercredi 25 octobre 2017.   Cela signifie que vous commencerez à voir et le blocage (si les politiques et les profils des conseils scolaires ont été mis à jour) URL qualifiées de C2 sur votre pare-feu.  

 

Puis-je tester la catégorie C2 avant toutes les fonctionnalités ?

Oui, vous pouvez tester vos profils de C2 / politiques avant la pleine fonctionnalité de sortie.  Vous pouvez utiliser cette URL pour tester la catégorisation C2: https://urlfiltering.paloaltonetworks.com/test-Command-and-Control si le (s) profil (s)/Policies sont correctement configurés, l'accès à l'URL sera bloqué et consigné par votre pare-feu.   

 

Cela s’applique à la fois PAN-DB et Brightcloud de filtrage d’URL ?

Non, ce n'est que pour le filtrage D'url Pan-DB et ne s'applique pas actuellement au filtrage d'url Brightcloud.

 

Remarque: il est recommandé de s'abonner à cette FAQ pour les mises à jour temporelles lorsqu'elles sont disponibles. 

 

Voir aussi

Assurez-vous de que commandement et de contrôle est reconnu par le filtrage d’URL PAN-DB

 

De Kelvin Kwan

@neg273
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClZkCAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language