Video Tutorial: Mirada en profundidad a Threat Vault
Symptom
Para acceder a Palo Alto Networks Threat Vault, vaya a https://threatvault.paloaltonetworks.com/
A (se requiere una cuenta de inicio de sesión de soporte válida para acceder a Threat Vault)
Resolution
Recorra el Threat Vault viendo el siguiente video.
Lista de tipos de origen de bóveda de amenazas.
La lista de tipos de origen se ha incrementado de tres (spyware/vulnerabilidad/antivirus) y ahora cuenta con la capacidad de buscar en los siguientes tipos de origen:
- Firmas anti-spyware
- Firmas antivirus
- DNS Firmas
- PAN-DB URL Clasificaciones
- Firmas de protección contra vulnerabilidades
- WildFire Firmas
No es necesario seleccionar una sola fuente a menos que desee limitar los resultados de la búsqueda a un solo tipo de origen. La búsqueda predeterminada (todos los tipos de origen) se buscará en todos los tipos de origen.
Se han introducido otras nuevas características, entre las que se incluyen:
- Búsqueda unificada
- Búsqueda antivirus
- PAN-DB búsqueda de
Búsqueda unificada de resultados más relevantes
La nueva búsqueda unificada puede buscar a través de todos los tipos enumerados anteriormente para que ya no necesite elegir spyware / vulnerabilidad / antivirus en el menú desplegable. Query devuelve todos los resultados relevantes siempre y cuando deje el tipo de origen establecido en 'Todos los tipos de origen'.
Sus búsquedas ya no se limitarán sólo al tipo seleccionado, lo que significa que puede ver los mismos resultados de devolución de consulta de cada tipo, si está disponible. Es posible que pueda obtener resultados de búsqueda para cada tipo de fuente, si coincide. A buen ejemplo es 'ssl', ya que devolverá Anti-spyware, DNS así como firmas de protección contra vulnerabilidades.
Buscar resultados con Anti-spyware, DNS así como firmas de protección contra vulnerabilidades en los resultados de búsqueda.
Búsqueda antivirus para hashes y más
La búsqueda antivirus ahora incluye la capacidad de buscar hashes SHA256/SHA1/MD5.
Puede buscar en esos números de amenaza nuevos o ID antiguos para obtener más información.
Resultados de búsqueda antivirus que muestran nombre, amenaza ID única, versión e información hash.
Puede ver, en la foto anterior, las diferentes secciones devueltas de la búsqueda antivirus:
- Nombre : enumera el nombre del virus.
- Amenaza única ID - ID utilizado específicamente para identificar el virus.
- Primera versión : muestra qué versión antivirus fue capaz de detectar este virus.
- Hashes - Una opción para ver el hash md5, sha1, o sha256 a este virus, todos los cuales se pueden buscar para encontrar este virus.
PAN-DB búsqueda URL de clasificaciones con subdominios
En esta nueva versión de Threat Vault, ahora tiene la capacidad de buscar en categorías de host/dominio/subdominio ( URL Clasificaciones).
¿No está seguro de cuáles son los resultados del dominio para yahoo.com? Busque y averigüe. Dado que el motor de búsqueda busca en toda la base de datos la información, también obtendrá información de subdominio.
Ejemplo: Busca yahoo.com y verás mail.yahoo.com, kids.yahoo.com, news.yahoo.com, etc. Tienes la idea. Vea el siguiente ejemplo.
Resultados de búsqueda de Threat Vault para 'yahoo.com'. Observe cuántos resultados se enumeran debido a todos los subdominios.
Firmas anti-spyware ¿te dicen todo eso?
La búsqueda anti-spyware es una herramienta útil que le permite obtener una gran cantidad de información valiosa cuando se trata de aprender más sobre spyware.
Resultados de búsqueda de anti-spyware después de buscar en ' Initial. ' En los resultados de búsqueda anteriores, notará el nombre, severidad, primera versión y las últimas actualizaciones de aplicaciones y amenazas que detectan estos spywares.
Para obtener aún más información sobre cada amenaza, haga clic en el nombre.
La ventana Detalles de firma muestra información más detallada, incluida la ID amenaza, la gravedad, la acción, la primera versión, la última actualización, referencia y estado.
En el ejemplo, verá información detallada sobre esta amenaza. Vemos que se considera Adware, la acción predeterminada es alertar, en qué versiones se abordó primero, y la última actualización que detecta esta amenaza.
También tenemos un enlace de referencia para obtener más información y estado que nos indica si esto se ha publicado todavía o no.
Otra característica práctica es el Anterior / Siguiente / Cerrar en la parte inferior derecha. Si tienes varios resultados que te gustaría ver, es mucho más fácil hacer clic en Anterior o Siguiente en lugar de cerrar y tener que hacer clic en el siguiente nombre.
DNS búsqueda de firmas son PAN-OS específicas de la versión
La DNS búsqueda Firmas es una buena adición al almacén de amenazas, ya que puede ayudar a rellenar los espacios en blanco cuando se trata de protección contra amenazas.
DNS Resultados de firmas después de buscar en yahoo.com
Dentro de los resultados de las DNS firmas, vemos los resultados estándar: Nombre, Amenaza ID única, la versión en la que está cubierto, el nombre de dominio asociado a esta amenaza, así como el tipo, que aparece como AntiVirus.
A partir de PAN-OS 7.1, Palo Alto Networks ha incluido identificadores de amenaza únicos que son solo para PAN-OS 7.1.
Una característica adicional es una sección para 'Pre-7.1' o Post-7.1,' que muestra información diferente sobre la versión que se cubre si PAN-OS pre-7.1 o post PAN-OS 7.1.
Las firmas de protección contra vulnerabilidades proporcionan los números
La sección Firmas de protección contra vulnerabilidades es una sección agradable que será muy útil, especialmente cuando se buscan en números específicos CVE o nombres de vulnerabilidad.
Protección contra vulnerabilidades resultados de búsqueda para ' cipher ' como término de búsqueda.
En la captura de pantalla anterior, podemos ver qué resultados se muestran cuando se utiliza ' cipher ' para la búsqueda en el área de protección de vulnerabilidades. Como siempre, para obtener información más detallada, haga clic en el nombre para obtener los detalles (ver más abajo).
Detalles de la firma que muestran más información sobre una vulnerabilidad específica.
La ventana de detalles muestra lo mismo que los detalles en los resultados de búsqueda de anti-spyware, pero usualmente muestra más información acerca de la descripción. Las mismas opciones para Previous/Next/Close siguen estando ahí para obtener varios resultados.
WildFire las firmas se pueden buscar
La capacidad de buscar dentro WildFire de Firmas es una característica que sabe que muchos han estado I deseando, y ahora está disponible para que todos lo usen.
WildFire resultados de búsqueda de 'null'.
Verá la misma información que en las otras categorías, con el nombre, amenaza ID única, así como la información de lanzamiento y diferentes hashes. El mismo Pre-7.1/Post-7.1, así como el md5/sha1/sha256 también están disponibles aquí.
Características adicionales
Las fechas/versiones de lanzamiento y los tiempos de actualización disponibles con los ID de amenaza ya se han discutido en detalle anteriormente.
Capacidad para 'minimizar' diferentes tipos de fuentes.
Si obtiene muchos resultados de tipos de contenido diferentes después de realizar una búsqueda, pero solo desea ver los resultados de un único origen, puede hacer clic en el "título" de origen para "minimizar" los resultados en ese origen. El icono situado junto al tipo de origen cambiará de una flecha hacia abajo a una flecha hacia arriba.
Minimice las firmas antispyware en cualquier tipo de contenido para ver menos resultados de búsqueda.