为什么是威胁ID/当前版本DNS签名显示为“n/a”DNS ThreatVault 中的签名?

为什么是威胁ID/当前版本DNS签名显示为“n/a”DNS ThreatVault 中的签名?

12175
Created On 04/25/19 15:18 PM - Last Modified 06/08/23 08:45 AM


Question


为什么是威胁ID/当前版本DNS签名显示为“n/a”DNS签名?

用户添加的图像

Answer


这意味着DNS与域关联的签名已被禁用或被当前的防病毒软件或WildFire发布。 有一个固定的范围DNS签名,我们发送签名列表中最相关的域。不符合最相关标准(基于我们的威胁情报)的域将被替换。

即使签名被替换,URL该域的类别仍保留为恶意软件/C2/网络钓鱼,因此任何基于 http/https 的通信都会被该域阻止firewall.

此外,随着DNS Security功能介绍于PAN-OS9.0,DNS恶意域的名称解析可能会被阻止/陷入困境,因为firewall实时查询DNS Security云。

参考:
https://docs.paloaltonetworks.com/dns-security/administration/configure-dns-security/enable-dns-security


每个版本中禁用/替换和新添加的签名都列在防病毒版本说明中。

Additional Information


ThreatVault 上的“当前版本:不适用”是什么意思?
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oNA9CAM

如何检查DNS Security查找缓存来自CLI
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000boSACAY

https://www.paloaltonetworks.com/network-security/dns-security
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLmECAW&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language