Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Didacticiel vidéo: Regard en profondeur sur Threat Vault - Knowledge Base - Palo Alto Networks

Didacticiel vidéo: Regard en profondeur sur Threat Vault

63555
Created On 09/26/18 13:44 PM - Last Modified 11/14/23 13:51 PM


Symptom


Pour accéder au Coffre-fort de menace des réseaux de Palo Alto, rendez-vous sur https://threatvault.paloaltonetworks.com/
A (un compte de connexion de support valide est requis pour accéder à Threat Vault)

Capture d’écran de la page d’accueil de Threat Vault



Resolution


Visitez la voûte de la menace en regardant la vidéo ci-dessous.


Liste type de source de la menace Vault.
Capture d’écran de Threat Vault Source Type

La liste des types de sources a été augmentée de trois (spyware/vulnérabilité/antivirus) et présente maintenant la possibilité de rechercher dans les types de source suivants:

  • Signatures anti-spyware
  • Signatures antivirus
  • DNS Signatures
  • PAN-DB URL Classifications
  • Signatures de protection des vulnérabilités
  • WildFire Signatures

Pas besoin de sélectionner une seule source, sauf si vous souhaitez limiter les résultats de recherche à un seul type de source. La recherche par défaut (tous les types source) recherchera dans tous les types de sources.

D'autres nouvelles fonctionnalités ont été introduites, notamment:

  • Recherche unifiée
  • Recherche antivirus
  • PAN-DB recherche

 

Recherche unifiée pour des résultats plus pertinents

La nouvelle recherche unifiée peut rechercher à travers tous les types énumérés ci-dessus de sorte que vous n’avez plus besoin de choisir spyware / vulnérabilité / antivirus dans la chute vers le bas. Requête renvoie tous les résultats pertinents tant que vous quittez le type source défini sur « Tous les types de source ».

Vos recherches ne seront plus limitées uniquement au type qui a été sélectionné, ce qui signifie que vous pouvez voir les mêmes résultats de retour de requête de chaque type, si disponible. Il est possible que vous pouvez obtenir des résultats de recherche pour chaque type de source, si elle correspond. A bon exemple est « ssl », car il va retourner anti-spyware, DNS , ainsi que les signatures de protection de vulnérabilité.
Capture d’écran de Treat Vault Search Results for SSL

Résultats de recherche avec anti-spyware, DNS ainsi que des signatures de protection de vulnérabilité dans les résultats de recherche.


Recherche antivirus pour les hachages et plus

La recherche antivirus inclut désormais la possibilité de rechercher sha256/SHA1/MD5 hashes.
Vous pouvez rechercher sur ces numéros de menace nouveaux ou anciens ID pour obtenir plus d’informations.

Capture d’écran de Anitvirus Signatures

Résultats de recherche antivirus montrant le nom, menace unique ID , la libération et les informations de hachage.
Vous pouvez voir, dans la photo ci-dessus, les différentes sections retournées de la recherche Antivirus:

  1. Nom - énumère le nom du virus.
  2. Menace unique ID - ID spécifiquement utilisée pour identifier le virus.
  3. Première version - montre ce que la version antivirus a été en mesure de détecter ce virus.
  4. Hashes - Une option pour afficher le hachage md5, sha1 ou sha256 à ce virus, qui sont tous consultables pour trouver ce virus.

 

PAN-DB recherche de URL classifications avec sous-ensembles

Dans cette nouvelle version de Threat Vault, vous avez désormais la possibilité de rechercher sur les catégories hôte/domaine/sous-domaine URL (Classifications).

Vous ne savez pas quels sont les résultats de domaine pour yahoo.com? Cherchez et découvrez- le. Étant donné que le moteur de recherche recherche l’ensemble de la base de données pour obtenir les informations, vous obtiendrez également des informations subdomain.

Exemple : Recherchez des yahoo.com et vous verrez des mail.yahoo.com, kids.yahoo.com, news.yahoo.com, etc. Vous avez l’idée. Voir l’exemple suivant.

Capture d’écran PAN-DB URL des classifications

Les résultats de recherche de la chambre forte de la menace pour yahoo.com ' Notez combien de résultats sont répertoriés en raison de tous les sous-ensembles.


Signatures anti-spyware vous dire tout cela?

La recherche anti-spyware est un outil pratique qui vous permet d’obtenir beaucoup d’informations précieuses quand il s’agit d’en apprendre davantage sur les logiciels espions.

Capture d’écran de Signatures anti-spyware

Résultats de recherche anti-spyware après avoir cherché sur'initial. ' Dans les résultats de recherche ci-dessus, vous remarquerez le nom, la sévérité, la première version, et la dernière mise à jour des applications et des menaces qui détecte ces spywares. 

Pour obtenir encore plus d’informations sur chaque menace, cliquez sur le nom.

Capture d’écran de Signature Details Bionet4_0_3 2 connexion initiale

La fenêtre Détails de signature affiche des informations plus détaillées, y compris la ID menace, la gravité, l’action, la première version, la dernière mise à jour, la référence et l’état.

Dans l’exemple, vous voyez des informations détaillées sur cette menace. Nous voyons qu’il est considéré comme Adware, l’action par défaut est d’alerter, dans lequel les versions qu’il a d’abord été adressée, et la dernière mise à jour qui détecte cette menace.

Nous avons également un lien de référence pour plus d’informations et de statut qui nous indique si cela a été publié encore ou non.

Une autre fonctionnalité pratique est le précédent / Suivant / Fermer en bas à droite. Si vous avez plusieurs résultats que vous souhaitez regarder, il est beaucoup plus facile de cliquer sur Précédent ou Suivant plutôt que de fermer et de cliquer sur le nom suivant.


DNS recherche de signatures sont PAN-OS spécifiques à la version

La DNS recherche signatures est un ajout agréable à la voûte de menace, car il peut aider à remplir les blancs quand il s’agit de protection contre les menaces.

Capture DNS d’écran de Signatures pré et post 7.1

DNS Résultats des signatures après avoir cherché sur yahoo.com

À DNS l’intérieur des résultats des signatures, nous voyons les résultats standard: Nom, Menace unique , la version dans laquelle il est couvert, le nom de domaine qui est associé à cette menace, ainsi ID que le type, qui est répertorié comme AntiVirus.

À partir PAN-OS de 7.1, Palo Alto Networks a inclus des pièces d’identité menace uniques qui ne sont que PAN-OS pour 7,1.
Une autre fonctionnalité est une section pour 'Pre-7.1' ou Post-7.1', qui affiche différentes informations sur la version qui est couverte si avant PAN-OS 7.1 ou après PAN-OS 7.1.


Signatures de protection des vulnérabilités fournir les numéros

La section Signatures de protection contre la vulnérabilité est une section agréable qui sera très pratique, en particulier lors de la recherche sur des numéros CVE spécifiques ou des noms de vulnérabilité.

Capture d’écran de Vulnerability Protection Signatures

Protection des vulnérabilités résultats de recherche pour'Cipher'comme terme de recherche.

Dans la capture d'écran ci-dessus, nous pouvons voir quels sont les résultats affichés lorsque'Cipher'est utilisé pour la recherche dans la zone de protection de la vulnérabilité. Comme toujours, pour obtenir des informations plus détaillées, cliquez sur le nom pour obtenir les détails (voir ci-dessous).

Capture d’écran de Signature Details of IPMI Cipher Zero Authentication Bypass Vulnerability

Détails de signature montrant plus d'informations sur une vulnérabilité spécifique.

La fenêtre Détails affiche la même chose que les détails dans les résultats de la recherche anti-spyware, mais montre généralement plus d'informations sur la description. Les mêmes options pour Previous/Next/Close sont toujours là pour plusieurs résultats.

 

WildFire signatures sont consultables

La possibilité de rechercher dans WildFire Signatures est une fonctionnalité qui sait que beaucoup ont été I désireux, et maintenant il est disponible pour tout le monde à utiliser.Capture d’écran WildFire de Signatures

WildFire résultats de recherche pour « nul ».

Vous verrez les mêmes informations que dans les autres catégories, avec le nom, menace unique ID , ainsi que les informations de libération et les différents hashes. Le même Pré-7.1/Post-7.1 ainsi que le md5/sha1/sha256 sont disponibles ici aussi.
 

Fonctionnalités supplémentaires

Les dates/versions de sortie et les temps de mise à jour disponibles avec les ID threat ont déjà été discutés en détail ci-dessus.

Capacité de « minimiser » les différents types de sources.
Si vous obtenez de nombreux résultats de type de contenu différents après avoir effectué une recherche, mais que vous voulez seulement regarder les résultats à partir d’une seule source, vous pouvez cliquer sur la source « titre » pour « minimiser » les résultats sous cette source. L’icône à côté du type source passera d’une flèche vers le bas à une flèche vers le haut.
Capture d’écran de signatures anti-spyware ascendantes et descendantes

Réduisez au minimum les signatures anti-spyware sur n’importe quel type de contenu pour voir moins de résultats de recherche.



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClmRCAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language