一个新的类别已被添加到 URL 筛选。 这个新的类别将"命令和控制"进一步爆发从恶意软件类别内的细节。
完整的功能, 这是 C2 url 的实时分类, 发生在星期三 2017年10月25日.
注意:管理员应将其命令和控制类别设置为立即阻止.
下面是有关命令和控制类别的常见问题。
我们不是已经从 C2 保护吗?
是的你有一直受到保护从 C2。 以前,这被归在恶意软件内。
什么是恶意软件和 C2 之间的区别,我为什么要在乎?
帕洛阿尔托网络已经爆发与 C2 的恶意软件类别内的细节。 恶意软件通常是恶意内容、可执行文件、脚本、病毒和试图将通过您的网络从外部到内部的代码。 这些恶意的企图被阻止通过防火墙。 与 C2,终结点试图从外部连接到远程服务器。 这些连接是由内向外。 再次,防火墙将阻止到这些远程服务器的连接。
然而,这两个不同类别的证券分析师反应不同。恶意软件,分析师将合理地确认威胁把他拦住他们帕洛阿尔托网络防火墙和终结点不被破坏。 与 C2,因为它正在尝试联系远程服务器和补救是特定终结点,以及评估为横向运动/感染的必要条件,则最有可能已成为破坏终结点。
如果不改块作为行动的 C2 类,会发生什么?
如果你不改变要阻止的 C2 类别的默认操作,将允许所有尝试的连接到 C2 相关的 Url,然后连接。
为什么是 C2 不默认设置为块?
帕洛阿尔托网络设置的默认动作,对块的默认配置文件只是可用在潘-OS 版本 8.0.2 中和以后与内容版本 738 或更高版本的功能。 所有客户运行泛 OS 8.0.2+ 含 738 + 都会自动设置为块中的默认配置文件的默认操作。 此功能不是可用的泛操作系统的早期版本。(请注意,为泛 OS 8.0.2+ 客户,请检查以确保,操作已被正确地更新到块内的默认配置文件)。
如果您有多个 URL 过滤安全配置文件,您必须为每个这些配置文件到块更新的默认操作。这适用于所有版本的泛 OS。
C2 是如何定义的?
由帕洛阿尔托网络作为 Url 定义命令控件和域使用的恶意软件和/或暗中与攻击者的远程服务器以接收恶意命令或偷偷数据通信的系统受损。
C2 类释放的时间表是什么?
类别内容更新是目前可用的 URL 过滤数据库上。 命令与控制类别将管理员的管理控制台上可见,但将无法正常运行。 在此期间, 您可以更新要阻止的命令和控制类别的操作。 可用的功能时,将分类所有 C2 Url 和阻塞 (如果设置为阻止) 按 URL 筛选功能。
C2 类何时功能?
完整的功能, 这是 C2 网址的实时分类, 将发生在星期三 2017年10月25日. 这意味着,你将开始看到和阻塞 (如果已更新策略和配置文件) 在您的防火墙上归类为 C2 的 Url。
我可以测试 C2 类别之前全部功能吗?
是的您可以测试您的 C2 配置文件/前的全部功能,政策释放。 您可以利用此 URL 测试 C2 分类: https://urlfiltering.paloaltonetworks.com/test-command-and-control如果配置文件/策略设置正确, 则防火墙将阻止和记录对 URL 的访问.
这是否适用于泛分贝和 Brightcloud 的 URL 筛选?
不, 这仅用于泛 DB url 筛选 , 并且当前不应用于 Brightcloud url 筛选.
注意: 建议在可用时订阅此 FAQ 以进行时间线更新.
请参见
请确保命令与控制承认由泛 DB URL 过滤
从关楚耀
@neg273