Autofocus Log Data Integration

Während die Untersuchung von Anzeichen von böswilliger Aktivität mit den Sicherheitsprotokollen auf einer Firewall oder einem Endpunkt, ist es manchmal wichtig, zusätzlichen Kontext für ein Log-Entry-Artefakt zu haben. Dieser Kontext kann von Autofocus bereitgestellt werden, aber um zu diesen Informationen zu gelangen, müssen Sie das Artefakt manuell aus der Firewall kopieren und es verwenden, um Autofokus zu suchen. Dieser Vorgang kann zeitaufwendig und fehleranfällig sein.

Mit einer neuen Funktion können Sie Abfragen von der Firewall/Panorama-Log-Monitor-Seite auf Autofocus für ein ausgewähltes Log-Element starten, wie zum Beispiel eine Ziel-IP-Adresse, URL oder Bedrohungs Name und Informationen von Autofocus, in der Firewall/Panorama-UI erhalten.

Autofocus Geräte Lizenz:

• Die Autofocus-Geräte Lizenz wird in Pan-OS 7,1 eingeführt, um festzustellen, ob das Gerät die Funktion nutzen kann. Geräte/Panorama können die Lizenz von Updates.paloaltonetworks.com abrufen
• Der Lizenz Bewerbungsprozess wird bei erfolgreicher Anwendung der Autofocus-Site-Lizenz auf dem Kundendienst-Portal (CSP) unter Site-Lizenzen automatisiert.
  • Der Lizenzserver im Backend generiert Autofokus-Geräte Lizenzen für alle Geräte/Panorama, die auf dem CSP-Konto angebracht sind.
  • Der Lizenzschlüssel wird dann beim täglichen Check-in automatisch an die Geräte gesendet, oder Lizenzschlüssel können vom Lizenzserver abgerufen werden.

Konfiguration (WebUI):

• Panorama/Gerät > Lizenz:

• Wenn eine Autofokus-Geräte Lizenz auf dem Gerät vorhanden ist, dann hat das Panorama/Device > Setup > Management-Tab eine "Autofocus"-Scheibe, um die Details zu konfigurieren:
  • Aktivieren: Aktivieren Sie diese Funktion
  • Adresse URL: https://Autofocus.paloaltonetworks.com:10443
  • Abfrage Timeout (sec): Geben Sie den Timeout-Wert der Abfrage an 

Autofokus-Abfrage:

• Es gibt zunächst keine sichtbare Änderung-das Traffic-Log sieht genauso aus wie in früheren Pan-OS-Versionen:

• Schweben Sie über das rechte Ende der unterstützten Spalte (Quell-und Zieladresse für Traffic Log), erscheint ein schwarzer Down-Dreieck-Knopf:

• Klicken Sie auf den Pfeil, der Autofokus-Button erscheint:

• Klicken Sie noch einmal, um die Autofokus-Intelligenz Zusammenfassung Pop-up anzuzeigen:
  1. Autofocus-Suchlink: Klicken Sie auf diesen Link, um eine Autofokus-Suche aus der Firewall zu öffnen.  Der Autofocus-Such Editor öffnet sich in einem neuen Tab, wobei das Firewall-Artefakt als Such Bedingung hinzugefügt wird. Sie können auch andere Artefakte, die in der Bedrohungs Übersicht enthalten sind, zu einer Autofokus-Suche hinzufügen.
  2. Passives DNS: für IP-Adressen, Domains und URLs wird jede aktuelle passive DNS-Historie für das Artefakt aufgelistet.
  3. Passende Tags: Autofokus-Tags, die auf das Artefakt abgestimmt sind.
  4. Assoziierte Sitzungen: die Anzahl der Sitzungen, in denen Proben mit dem Artefakt verbunden wurden.
  5. Wildfire-Urteile: die Anzahl der Grauware, gutartigen und Malware-Proben, die das Artefakt enthalten.
  6. Jüngste Wildfire-Ergebnisse: die neuesten Proben, mit denen Wildfire das Artefakt entdeckte.

Service Route für Autofokus:

• Autofokus-Service-Route wird neu eingeführt
• Gerät > Setup > Services > Service Route Konfiguration
• Autofokus-Abfrage wird von der angegebenen Schnittstelle gesendet
• Management-Schnittstelle wird standardmäßig eingestellt

CLI

• Der folgende CLI-Befehl wird in Pan-OS 7,1 hinzugefügt: 

# Set DeviceConfig-Einstellung Autofokus
+ Autofokus-URL URL für Autofokus-Server
+ aktiviert ermöglichen Autofokus-Service
+ Abfrage-Timeout-Abfrage-Auszeit in Sekunden
  <Enter>Finish Input</Enter>