Intégration des données du journal autofocus

Tout en enquêtant sur des signes d'activité malveillante à l'aide des journaux de sécurité sur un pare-feu ou un point de terminaison, il est parfois important d'avoir un contexte supplémentaire pour un artefact d'entrée de journal. Ce contexte peut être fourni par autofocus, mais afin d'obtenir ces informations, vous devez copier manuellement l'artefact à partir du pare-feu et l'utiliser pour Rechercher l'autofocus. Ce processus peut prendre du temps et des erreurs sujettes.

Une nouvelle fonctionnalité vous permet de lancer des requêtes à partir de la page pare-feu/moniteur de journal de panorama pour mettre le focus sur un élément de journal sélectionné, tel qu'une adresse IP de destination, une URL ou un nom de menace et recevoir des informations de l'autofocus, dans l'interface utilisateur du pare-feu/panorama.

Licence de périphérique autofocus:

• La licence de périphérique autofocus est introduite dans Pan-OS 7,1 pour déterminer si l'appareil peut utiliser la fonction. Devices/panorama peut récupérer la licence de updates.paloaltonetworks.com
• Le processus de demande de licence est automatisé à la suite de l'application réussie de la licence «site» de mise au point automatique sur le compte du portail de support client (CSP) sous licences de site.
  • Le serveur de licences dans le backend générera des licences de périphériques autofocus pour tous les périphériques/panorama attachés au compte CSP.
  • La clé de licence est ensuite envoyée aux périphériques lors de l'enregistrement quotidien automatiquement, ou les clés de licence sont récupérables à partir du serveur de licences.

Configuration (IU):

• Panorama/Device > licence:

• Si une licence de périphérique autofocus est présente sur l'appareil, l'onglet gestion de panorama/Device > Setup > disposera d'un volet «autofocus» pour configurer les détails:
  • Activer: vérifier pour activer cette fonction
  • Adresse URL: https://autofocus.paloaltonetworks.com:10443
  • Délai de requête (s): spécifiez la valeur de délai de requête 

Requête autofocus:

• Il n'y a pas de changement visible au début--le journal de trafic ressemble à celui qu'il a fait dans les versions précédentes de Pan-OS:

• Survolez l'extrémité droite de la colonne prise en charge (adresse source et destination du journal de trafic), un bouton de triangle de pointage noir apparaît:

• Cliquez sur la flèche, le bouton autofocus apparaît:

• Cliquez-le à nouveau pour afficher le résumé automatique de l'intelligence de mise au point:
  1. Lien de recherche autofocus: cliquez sur ce lien pour ouvrir une recherche autofocus à partir du pare-feu.  L'éditeur de recherche autofocus s'ouvre dans un nouvel onglet, l'artefact du pare-feu étant ajouté en tant que condition de recherche. Vous pouvez également ajouter d'autres artefacts inclus dans le résumé de la menace à une recherche de mise au point.
  2. DNS passif: pour les adresses IP, les domaines et les URL, toute histoire DNS passive récente pour l'artefact est répertoriée.
  3. Balises correspondantes: balises autofocus correspondant à l'artefact.
  4. Sessions associées: nombre de sessions où des échantillons associés à l'artefact ont été trouvés.
  5. Les verdicts de Wildfire: le nombre d'échantillons de gris, bénins et malveillants qui contiennent l'artefact.
  6. Récents résultats de feux de forêt: les derniers échantillons avec lesquels Wildfire a détecté l'artefact.

Itinéraire de service pour l'autofocus:

• L'itinéraire de service autofocus est nouvellement introduit
• Device > Setup > services > configuration de l'itinéraire de service
• La requête autofocus est envoyée à partir de l'interface spécifiée
• L'interface de gestion est définie par défaut

CLI

• La commande CLI suivante est ajoutée dans Pan-OS 7,1: 

# Set deviceconfig mise au point autofocus
+ autofocus-URL de l'URL pour le serveur autofocus
+ activé activer le service autofocus
+ délai de requête query-timeout en secondes
  <Enter>Entrée de finition</Enter>