自动对焦日志数据集成

在使用防火墙或端点上的安全日志调查恶意活动的迹象时, 对于日志条目工件有附加的上下文有时很重要。此上下文可以通过自动对焦提供, 但为了获取此信息, 您必须手动从防火墙复制工件, 并使用它来搜索自动对焦。此过程可能耗时且容易出错。

通过一个新功能, 您可以从 "防火墙/全景日志监视器" 页启动查询, 以便在防火墙/全景用户界面中为选定的日志元素 (如目标 IP 地址、URL 或威胁名称) 自动对焦, 并从自动对焦接收信息。

自动对焦设备许可证:

• 在 PAN OS 7.1 中引入了自动对焦设备许可证, 以确定设备是否可以使用该功能。设备/全景可以从 updates.paloaltonetworks.com 检索许可证
• 在 "网站许可证" 下的 "客户支持门户 (CSP)" 帐户上成功应用自动对焦 "站点" 许可证后, 许可证申请过程将自动进行。
  • 后端的许可证服务器将为连接到 CSP 帐户的所有设备/全景图生成自动对焦设备许可证。
  • 然后, 许可证密钥将自动在日常签入期间发送到设备, 或者从授权服务器检索许可证密钥。

配置 (WebUI):

• 全景/设备 > 许可证:

• 如果设备上存在自动对焦设备许可证, 则全景/设备 >> 安装程序 > 管理选项卡将有一个 "自动对焦" 窗格来配置详细信息:
  • 启用: 选中以启用此功能
  • 地址 URL: https://autofocus.paloaltonetworks.com:10443
  • 查询超时 (秒): 指定查询超时值 

自动对焦查询:

• 首先没有可见的更改--通信日志看起来与以前的 PAN OS 版本中的情况相同:

• 悬停在受支持列的右端 (通信日志的源和目标地址) 上, 将显示一个黑色向下指向三角形按钮:

• 单击箭头, 将显示自动对焦按钮:

• 再次单击以显示自动对焦智能摘要弹出式:
  1. 自动对焦搜索链接: 单击此链接可从防火墙打开自动对焦搜索。 自动对焦搜索编辑器在新选项卡中打开, 防火墙工件添加为搜索条件。还可以将威胁摘要中包括的其他工件添加到自动对焦搜索中。
  2. 被动 dns: 对于 IP 地址、域和 url, 将列出该工件的任何最近的被动 dns 历史记录。
  3. 匹配标记: 与工件匹配的自动对焦标记。
  4. 关联会话: 找到与工件关联的示例的会话数。
  5. 野火判决: 包含工件的 greyware、良性和恶意软件示例的数量。
  6. 最近的野火结果: 野火探测到的最新样品。

自动对焦服务路线:

• 新推出的自动对焦服务路线
• 设备 > 安装 > 服务 > 服务路由配置
• 自动对焦查询从指定的接口发送
• 默认情况下设置管理接口

CLI

• 在 PAN OS 7.1 中添加了以下 CLI 命令: 

# 设置 deviceconfig 设置自动对焦
+ 自动对焦-自动对焦服务器的 url url
+ 启用自动对焦服务
+ 查询超时时间 (以秒为单位)
  <Enter>完成输入</Enter>