Integración de datos del registro de enfoque automático

Mientras se investigan los signos de actividad maliciosa utilizando los registros de seguridad de un cortafuegos o un extremo, a veces es importante tener un contexto adicional para un artefacto de entrada de registro. Este contexto se puede proporcionar por el enfoque automático, pero para obtener esta información, debe copiar manualmente el artefacto desde el cortafuegos y usarlo para buscar el enfoque automático. Este proceso puede consumir mucho tiempo y propenso a errores.

Una nueva función le permite iniciar consultas desde la página cortafuego/monitor de registro de panorama para centrarse en un elemento de registro seleccionado, como una dirección IP de destino, una URL o un nombre de amenaza y recibir información del enfoque automático en la IU de Firewall/panorama.

Licencia de dispositivo de enfoque automático:

• La licencia de dispositivo de enfoque automático se introduce en pan-os 7,1 para determinar si el dispositivo puede utilizar la función. Los dispositivos/panorama pueden recuperar la licencia de updates.paloaltonetworks.com
• El proceso de solicitud de licencia se automatiza tras la aplicación exitosa de la licencia de "sitio" del enfoque automático en la cuenta del portal de soporte al cliente (CSP) bajo licencias de sitio.
  • El servidor de licencias del backend generará licencias de dispositivos de enfoque automático para todos los dispositivos/panorama adjuntos a la cuenta CSP.
  • La clave de licencia se envía entonces a los dispositivos durante el check-in diario automáticamente, o las claves de licencia se pueden recuperar desde el servidor de licencias.

Configuración (WebUI):

• Panorama/dispositivo > licencia:

• Si hay una licencia de dispositivo de enfoque automático en el dispositivo, entonces panorama/dispositivo > configuración > la ficha Administración tendrá un panel de "enfoque automático" para configurar los detalles:
  • Activar: comprobar para activar esta función
  • URL de la dirección: https://autofocus.paloaltonetworks.com:10443
  • Timeout de Query (seg): especifique el valor de tiempo de espera de la consulta 

Consulta de enfoque automático:

• No hay ningún cambio visible al principio-el registro de tráfico se ve igual que en anteriores versiones de pan-os:

• Sitúese sobre el extremo derecho de la columna admitida (origen y dirección de destino para el registro de tráfico), aparecerá un botón triángulo negro hacia abajo que señala:

• Haga clic en la flecha, aparecerá el botón de enfoque automático:

• Haga clic de nuevo para mostrar el pop-up de Resumen de inteligencia de enfoque automático:
  1. Enlace de búsqueda de enfoque automático: haga clic en este vínculo para abrir una búsqueda de enfoque automático desde el cortafuegos.  El editor de búsqueda de enfoque automático se abrirá en una nueva ficha, con el artefacto de Firewall agregado como condición de búsqueda. También puede agregar otros artefactos incluidos en el Resumen de amenazas a una búsqueda de enfoque automático.
  2. DNS pasivo: para direcciones IP, dominios y URLs, se muestra cualquier historial de DNS pasivo reciente para el artefacto.
  3. Etiquetas coincidentes: las etiquetas de enfoque automático coinciden con el artefacto.
  4. Sesiones asociadas: número de sesiones en las que se encontraron muestras asociadas con el artefacto.
  5. Veredictos de Wildfire: el número de muestras de greyware, benignas y malware que contienen el artefacto.
  6. Resultados recientes de incendios forestales: las últimas muestras con las que el incendio forestal detectó el artefacto.

Ruta de servicio para el enfoque automático:

• La ruta de servicio de autofocus se introduce recientemente
• Dispositivo > configuración > servicios > configuración de la ruta de servicio
• La consulta de enfoque automático se envía desde la interfaz especificada
• La interfaz de administración se establece de forma predeterminada

CLI

• El siguiente comando CLI se agrega en pan-os 7,1: 

# Set deviceconfig ajuste del enfoque automático
+ enfoque automático-URL URL para el servidor de enfoque automático
+ habilitado habilitar el servicio de enfoque automático
+ tiempo de espera de consulta en segundos
  <Enter>Entrada del final</Enter>