Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Video Tutorial: Mirada en profundidad a Threat Vault - Knowledge Base - Palo Alto Networks

Video Tutorial: Mirada en profundidad a Threat Vault

63555
Created On 09/26/18 13:44 PM - Last Modified 11/14/23 13:51 PM


Symptom


Para acceder a Palo Alto Networks Threat Vault, vaya a https://threatvault.paloaltonetworks.com/
A (se requiere una cuenta de inicio de sesión de soporte válida para acceder a Threat Vault)

Captura de pantalla de la página de inicio de Threat Vault



Resolution


Recorra el Threat Vault viendo el siguiente video.


Lista de tipos de origen de bóveda de amenazas.
Captura de pantalla del tipo de fuente de Threat Vault

La lista de tipos de origen se ha incrementado de tres (spyware/vulnerabilidad/antivirus) y ahora cuenta con la capacidad de buscar en los siguientes tipos de origen:

  • Firmas anti-spyware
  • Firmas antivirus
  • DNS Firmas
  • PAN-DB URL Clasificaciones
  • Firmas de protección contra vulnerabilidades
  • WildFire Firmas

No es necesario seleccionar una sola fuente a menos que desee limitar los resultados de la búsqueda a un solo tipo de origen. La búsqueda predeterminada (todos los tipos de origen) se buscará en todos los tipos de origen.

Se han introducido otras nuevas características, entre las que se incluyen:

  • Búsqueda unificada
  • Búsqueda antivirus
  • PAN-DB búsqueda de

 

Búsqueda unificada de resultados más relevantes

La nueva búsqueda unificada puede buscar a través de todos los tipos enumerados anteriormente para que ya no necesite elegir spyware / vulnerabilidad / antivirus en el menú desplegable. Query devuelve todos los resultados relevantes siempre y cuando deje el tipo de origen establecido en 'Todos los tipos de origen'.

Sus búsquedas ya no se limitarán sólo al tipo seleccionado, lo que significa que puede ver los mismos resultados de devolución de consulta de cada tipo, si está disponible. Es posible que pueda obtener resultados de búsqueda para cada tipo de fuente, si coincide. A buen ejemplo es 'ssl', ya que devolverá Anti-spyware, DNS así como firmas de protección contra vulnerabilidades.
Captura de pantalla de Treat Vault Search Results for SSL

Buscar resultados con Anti-spyware, DNS así como firmas de protección contra vulnerabilidades en los resultados de búsqueda.


Búsqueda antivirus para hashes y más

La búsqueda antivirus ahora incluye la capacidad de buscar hashes SHA256/SHA1/MD5.
Puede buscar en esos números de amenaza nuevos o ID antiguos para obtener más información.

Captura de pantalla de las firmas de Anitvirus

Resultados de búsqueda antivirus que muestran nombre, amenaza ID única, versión e información hash.
Puede ver, en la foto anterior, las diferentes secciones devueltas de la búsqueda antivirus:

  1. Nombre : enumera el nombre del virus.
  2. Amenaza única ID - ID utilizado específicamente para identificar el virus.
  3. Primera versión : muestra qué versión antivirus fue capaz de detectar este virus.
  4. Hashes - Una opción para ver el hash md5, sha1, o sha256 a este virus, todos los cuales se pueden buscar para encontrar este virus.

 

PAN-DB búsqueda URL de clasificaciones con subdominios

En esta nueva versión de Threat Vault, ahora tiene la capacidad de buscar en categorías de host/dominio/subdominio ( URL Clasificaciones).

¿No está seguro de cuáles son los resultados del dominio para yahoo.com? Busque y averigüe. Dado que el motor de búsqueda busca en toda la base de datos la información, también obtendrá información de subdominio.

Ejemplo: Busca yahoo.com y verás mail.yahoo.com, kids.yahoo.com, news.yahoo.com, etc. Tienes la idea. Vea el siguiente ejemplo.

Captura de pantalla de PAN-DB URL clasificaciones

Resultados de búsqueda de Threat Vault para 'yahoo.com'. Observe cuántos resultados se enumeran debido a todos los subdominios.


Firmas anti-spyware ¿te dicen todo eso?

La búsqueda anti-spyware es una herramienta útil que le permite obtener una gran cantidad de información valiosa cuando se trata de aprender más sobre spyware.

Captura de pantalla de firmas antispyware

Resultados de búsqueda de anti-spyware después de buscar en ' Initial. ' En los resultados de búsqueda anteriores, notará el nombre, severidad, primera versión y las últimas actualizaciones de aplicaciones y amenazas que detectan estos spywares. 

Para obtener aún más información sobre cada amenaza, haga clic en el nombre.

Captura de pantalla de detalles de la firma para Bionet4_0_3 2 conexión inicial

La ventana Detalles de firma muestra información más detallada, incluida la ID amenaza, la gravedad, la acción, la primera versión, la última actualización, referencia y estado.

En el ejemplo, verá información detallada sobre esta amenaza. Vemos que se considera Adware, la acción predeterminada es alertar, en qué versiones se abordó primero, y la última actualización que detecta esta amenaza.

También tenemos un enlace de referencia para obtener más información y estado que nos indica si esto se ha publicado todavía o no.

Otra característica práctica es el Anterior / Siguiente / Cerrar en la parte inferior derecha. Si tienes varios resultados que te gustaría ver, es mucho más fácil hacer clic en Anterior o Siguiente en lugar de cerrar y tener que hacer clic en el siguiente nombre.


DNS búsqueda de firmas son PAN-OS específicas de la versión

La DNS búsqueda Firmas es una buena adición al almacén de amenazas, ya que puede ayudar a rellenar los espacios en blanco cuando se trata de protección contra amenazas.

Captura de pantalla de DNS firmas antes y después 7.1

DNS Resultados de firmas después de buscar en yahoo.com

Dentro de los resultados de las DNS firmas, vemos los resultados estándar: Nombre, Amenaza ID única, la versión en la que está cubierto, el nombre de dominio asociado a esta amenaza, así como el tipo, que aparece como AntiVirus.

A partir de PAN-OS 7.1, Palo Alto Networks ha incluido identificadores de amenaza únicos que son solo para PAN-OS 7.1.
Una característica adicional es una sección para 'Pre-7.1' o Post-7.1,' que muestra información diferente sobre la versión que se cubre si PAN-OS pre-7.1 o post PAN-OS 7.1.


Las firmas de protección contra vulnerabilidades proporcionan los números

La sección Firmas de protección contra vulnerabilidades es una sección agradable que será muy útil, especialmente cuando se buscan en números específicos CVE o nombres de vulnerabilidad.

Captura de pantalla de las firmas de protección contra vulnerabilidades

Protección contra vulnerabilidades resultados de búsqueda para ' cipher ' como término de búsqueda.

En la captura de pantalla anterior, podemos ver qué resultados se muestran cuando se utiliza ' cipher ' para la búsqueda en el área de protección de vulnerabilidades. Como siempre, para obtener información más detallada, haga clic en el nombre para obtener los detalles (ver más abajo).

Captura de pantalla de los detalles de la firma de IPMI cipher zero authentication bypass vulnerabilidad

Detalles de la firma que muestran más información sobre una vulnerabilidad específica.

La ventana de detalles muestra lo mismo que los detalles en los resultados de búsqueda de anti-spyware, pero usualmente muestra más información acerca de la descripción. Las mismas opciones para Previous/Next/Close siguen estando ahí para obtener varios resultados.

 

WildFire las firmas se pueden buscar

La capacidad de buscar dentro WildFire de Firmas es una característica que sabe que muchos han estado I deseando, y ahora está disponible para que todos lo usen.Captura de pantalla de WildFire firmas

WildFire resultados de búsqueda de 'null'.

Verá la misma información que en las otras categorías, con el nombre, amenaza ID única, así como la información de lanzamiento y diferentes hashes. El mismo Pre-7.1/Post-7.1, así como el md5/sha1/sha256 también están disponibles aquí.
 

Características adicionales

Las fechas/versiones de lanzamiento y los tiempos de actualización disponibles con los ID de amenaza ya se han discutido en detalle anteriormente.

Capacidad para 'minimizar' diferentes tipos de fuentes.
Si obtiene muchos resultados de tipos de contenido diferentes después de realizar una búsqueda, pero solo desea ver los resultados de un único origen, puede hacer clic en el "título" de origen para "minimizar" los resultados en ese origen. El icono situado junto al tipo de origen cambiará de una flecha hacia abajo a una flecha hacia arriba.
Captura de pantalla de firmas antispyware ascendentes y descendentes

Minimice las firmas antispyware en cualquier tipo de contenido para ver menos resultados de búsqueda.



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClmRCAS&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language