自动对焦日志数据集成
19873
Created On 09/26/18 13:44 PM - Last Modified 07/18/19 20:12 PM
Resolution
在使用防火墙或端点上的安全日志调查恶意活动的迹象时, 对于日志条目工件有附加的上下文有时很重要。此上下文可以通过自动对焦提供, 但为了获取此信息, 您必须手动从防火墙复制工件, 并使用它来搜索自动对焦。此过程可能耗时且容易出错。
通过一个新功能, 您可以从 "防火墙/全景日志监视器" 页启动查询, 以便在防火墙/全景用户界面中为选定的日志元素 (如目标 IP 地址、URL 或威胁名称) 自动对焦, 并从自动对焦接收信息。
自动对焦设备许可证:
- 在 PAN OS 7.1 中引入了自动对焦设备许可证, 以确定设备是否可以使用该功能。设备/全景可以从 updates.paloaltonetworks.com 检索许可证
- 在 "网站许可证" 下的 "客户支持门户 (CSP)" 帐户上成功应用自动对焦 "站点" 许可证后, 许可证申请过程将自动进行。
- 后端的许可证服务器将为连接到 CSP 帐户的所有设备/全景图生成自动对焦设备许可证。
- 然后, 许可证密钥将自动在日常签入期间发送到设备, 或者从授权服务器检索许可证密钥。
配置 (WebUI):
- 如果设备上存在自动对焦设备许可证, 则全景/设备 >> 安装程序 > 管理选项卡将有一个 "自动对焦" 窗格来配置详细信息:
自动对焦查询:
- 首先没有可见的更改--通信日志看起来与以前的 PAN OS 版本中的情况相同:
- 悬停在受支持列的右端 (通信日志的源和目标地址) 上, 将显示一个黑色向下指向三角形按钮:
- 再次单击以显示自动对焦智能摘要弹出式:
- 自动对焦搜索链接: 单击此链接可从防火墙打开自动对焦搜索。 自动对焦搜索编辑器在新选项卡中打开, 防火墙工件添加为搜索条件。还可以将威胁摘要中包括的其他工件添加到自动对焦搜索中。
- 被动 dns: 对于 IP 地址、域和 url, 将列出该工件的任何最近的被动 dns 历史记录。
- 匹配标记: 与工件匹配的自动对焦标记。
- 关联会话: 找到与工件关联的示例的会话数。
- 野火判决: 包含工件的 greyware、良性和恶意软件示例的数量。
- 最近的野火结果: 野火探测到的最新样品。
自动对焦服务路线:
- 新推出的自动对焦服务路线
- 设备 > 安装 > 服务 > 服务路由配置
- 自动对焦查询从指定的接口发送
- 默认情况下设置管理接口
CLI
- 在 PAN OS 7.1 中添加了以下 CLI 命令:
# 设置 deviceconfig 设置自动对焦
+ 自动对焦-自动对焦服务器的 url url
+ 启用自动对焦服务
+ 查询超时时间 (以秒为单位)
<Enter>完成输入</Enter>