¿Por qué la versión de amenaza ID/actual para firma aparece como 'n/a' para DNS DNS firmas en ThreatVault?
12171
Created On 04/25/19 15:18 PM - Last Modified 06/08/23 08:45 AM
Question
¿Por qué la versión de amenaza ID/actual para la firma aparece como 'n/a' para DNS DNS las firmas?
Answer
Esto significa que la DNS firma asociada con el dominio se ha deshabilitado o reemplazado desde el antivirus o WildFire la versión actual. Hay un rango fijo para DNS las firmas y enviamos los dominios más relevantes en la lista de firmas.Los dominios que no cumplen con los criterios más relevantes (según nuestra inteligencia de amenazas) se reemplazan.
Incluso si se reemplazó la firma, la URL categoría del dominio sigue siendo Malware/C2/Phishing para que cualquier comunicación basada en http/https con ese dominio sea bloqueada por el firewallarchivo .
Además, con la característica introducida en 9.0, la resolución de nombres para un dominio malicioso puede bloquearse / hundirse porque firewall hace la búsqueda en PAN-OS tiempo real contra la DNS DNS Security DNS Security nube.
Referencia:
https://docs.paloaltonetworks.com/dns-security/administration/configure-dns-security/enable-dns-security
Deshabilitado/reemplazado y Recién agregado Las firmas en cada versión se enumeran en las notas de la versión del antivirus.
Additional Information
¿Cuál es el significado de "Versión actual: n/a" en ThreatVault?
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oNA9CAM
Cómo comprobar DNS Security la caché de búsqueda desde CLI
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000boSACAY
https://www.paloaltonetworks.com/network-security/dns-security