视频教程:深入查看威胁库

视频教程:深入查看威胁库

58078
Created On 09/26/18 13:44 PM - Last Modified 11/14/23 13:51 PM


Symptom


要访问帕洛阿尔托网络威胁库,请转到https://threatvault.paloaltonetworks.com/(
A 访问威胁库需要有效的支持登录帐户)

威胁库主页的屏幕截图

Resolution


通过观看下面的视频来游览威胁保险库。


威胁保险存储源类型列表。
威胁库源类型的屏幕截图

源类型列表已从三增加 (间谍软件/漏洞/防病毒), 现在具有在以下源类型中进行搜索的功能:

  • 反间谍软件签名
  • 防病毒签名
  • DNS 签名
  • PAN-DB URL 分类
  • 漏洞保护签名
  • WildFire 签名

不需要选择单个源, 除非只希望将搜索结果限制为一个源类型。 默认搜索 (所有源类型) 将在所有源类型中搜索。

还介绍了其他新功能, 包括:

  • 统一搜索
  • 防病毒搜索
  • PAN-DB 搜索

 

统一搜索更多相关结果

新的统一搜索可以搜索上述所有类型,因此您不再需要在下拉中选择间谍软件/漏洞/防病毒软件。 只要将源类型设置为"所有源类型",查询将返回 所有 相关结果。

您的搜索将不再仅限于选定的类型, 这意味着您可以看到相同的查询返回每种类型的结果 (如果可用)。 如果每个源类型匹配, 则可能会获得搜索结果。 A 好的例子是"ssl",因为它将返回反间谍软件 DNS ,以及漏洞保护签名。
处理保险库搜索结果的屏幕截图 SSL

使用反间谍软件搜索结果, DNS 以及搜索结果中的漏洞保护签名。


反病毒搜索哈希和更多

防病毒搜索现在包括搜索SHA256/SHA1/MD5哈希的
内设。您可以搜索这些新威胁或旧威胁 ID 号码以获取更多信息。

阿尼特病毒签名截图

显示名称、唯一威胁、 ID 发布和哈希信息的防病毒搜索结果。
在上图中,您可以看到从防病毒搜索返回的不同部分:

  1. 名称 - 列出病毒名称。
  2. 独特的威胁 ID - ID 专门用于识别病毒。
  3. 首次发布 - 显示防病毒版本能够检测到此病毒的内容。
  4. 哈希斯 - 查看 md5、sha1 或 sha256 哈希的选项,所有这些都可以搜索以找到此病毒。

 

PAN-DB 搜索 URL 带有子域的分类

在这个新版本的威胁库中,您现在能够搜索主机/域/子域类别( URL 分类)。

不确定 yahoo.com 的域名结果是什么? 搜索并找出答案。 因为搜索引擎搜索整个数据库的信息,你也会得到子域信息。

示例: 搜索 yahoo.com,你会看到 mail.yahoo.com,kids.yahoo.com,news.yahoo.com 等。你明白了 请参阅以下示例。

分类截图 PAN-DB URL

"yahoo.com"威胁库搜索结果。 请注意,由于所有子域,列出了多少结果。


反间谍软件签名告诉你所有这些?

反间谍软件搜索是一个方便的工具,可以让你得到很多有价值的信息,当涉及到了解更多关于间谍软件。

反间谍软件签名的屏幕截图

搜索 "初始" 后的反间谍软件搜索结果。 在上面的搜索结果中, 您将注意到检测到这些间谍的名称、严重性、第一个版本以及最新的应用程序和威胁更新。 

要获取有关每个威胁的更多信息,请单击名称。

Bionet4_0_3 2 初始连接的签名详细信息的屏幕截图

签名详细信息窗口显示更详细的信息,包括威胁 ID 、严重程度、行动、首次发布、最新更新、参考和状态。

在示例中,您可以看到有关此威胁的详细信息。 我们看到,它被视为 Adware,默认操作是提醒,其中首次处理它,以及检测此威胁的最新更新。

我们还有一个参考链接,了解更多信息和状态,告诉我们这是否已经发布。

另一个方便的功能是前/下/关闭在右下角。 如果您有多个要查看的结果,则点击"上一个"或"下一个"要容易得多,而不是关闭,并且必须单击下一个名称。


DNS 签名搜索是 PAN-OS 特定版本

DNS签名搜索是威胁库的一个很好的补充,因为它可以帮助填补空白,当涉及到威胁保护。

DNS签名前和后7.1的截图

DNS 在 yahoo.com 上搜索后签名结果

在 DNS 签名结果中,我们会看到标准结果:名称、唯一威胁 ID 、包含的版本、与此威胁相关的域名以及被列为防病毒的类型。

从 PAN-OS 7.1 开始,帕洛阿尔托网络包括仅用于 PAN-OS 7.1 的唯一威胁 ID。
另一个功能是"前 7.1"或"后 7.1"的部分,其中显示了有关 PAN-OS 7.1 或 7.1 后所涵盖的版本的不同信息 PAN-OS 。


漏洞保护签名提供数字

漏洞保护签名部分是一个很好的部分,将派上用场,尤其是在搜索特定 CVE 数字或漏洞名称时。

漏洞保护签名的屏幕截图

漏洞保护搜索结果为 "密码" 作为搜索词。

在上面的截图中, 我们可以看到在漏洞保护区域中使用 "密码" 搜索时显示的结果。 如往常一样, 要获得更详细的信息, 请单击该名称以获取细节 (见下文)。

IPMI密码零身份验证旁路漏洞签名详细信息的屏幕截图

显示有关特定漏洞的更多信息的签名详细资料。

"详细信息" 窗口显示的是反间谍软件搜索结果中的详细信息, 但通常会显示有关说明的详情。 对于多个结果,以前/下一个/关闭的相同选项仍然存在。

 

WildFire 签名是可搜索的

在签名中搜索的能力 WildFire 是一个功能 I ,知道许多人一直想要,现在它可供每个人使用。签名截图 WildFire

WildFire 搜索"空"的结果。

您将看到与其他类别相同的信息,名称、唯一威胁 ID 以及发布信息和不同的哈希。 此处也提供相同的前 7.1/后 7.1 以及 md5/sha1/sha256。
 

额外功能

已详细讨论了带有威胁 ID 的发布日期/版本和更新时间

能够"最小化"不同的源类型。
如果您在执行搜索后收到许多不同的内容类型结果,但只想查看来自单个源的结果,则可以单击源"标题"以"最小化"该源下的结果。 源类型旁边的图标将从向下箭头更改为向上箭头。
反间谍软件签名升降的屏幕截图

最大限度地减少任何内容类型的反间谍软件签名,以查看更少的搜索结果。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClmRCAS&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language