So überprüfen Sie die Deckungsanfrage für Indikation der Kompromittierung (IoC) auf Malware oder Schwachstellen vor einem Supportfall.
25647
Created On 01/24/22 00:47 AM - Last Modified 02/22/24 17:26 PM
Objective
Palo Alto Networks bietet kostenlose Sicherheitsforschungstools, um neu veröffentlichte Malware-Kampagnen, Schwachstellen oder andere bereits vorhandene Malware, Hashes, , URLDNS Signaturen und mehr zu untersuchen.
Wenn die erforderlichen Informationen nicht verfügbar sind, indem Sie die bereitgestellten Sicherheitstools durchsuchen, öffnen Sie PANbitte den Supportfall.
Environment
- Alle PAN Produkte
- Jegliche PAN-OS
Procedure
Es gibt zwei kostenlose Tools, und ein kostenpflichtiges Tool ist für Palo Alto-Netzwerkbenutzer verfügbar, um bei der Suche nach Malware-Bedrohungskampagnen zu helfen.
- Kostenlose Tools:
- Threat Vault.
- Test-A-Site (https://urlfiltering.paloaltonetworks.com/query/)
- Kostenpflichtige Tools:
A Der Bericht zu Bedrohungskampagnen enthält die IOCs (Indication Of Compromise): z. B. Hashes, URLs, IP Adressen und mehr.
- Durchsuchen Sie externe Quellen nach Suchmaschinen (Google, Bing usw.), um weitere Informationen zu dieser Bedrohung zu erhalten. Die Suche kann weitere IoCs anzeigen oder auch nicht.
- Beispiel 1: Hashes: Die Hashes können die Form sha256, sha1 oder MD5 haben. Nehmen Sie diesen Hash und suchen Sie in Threat-Vault. A SHA256-Hash der Datei (a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92) kann bei threat-vault durchsucht werden.
- Wenn PAN ein AV Signaturhash zugeordnet ist. bestätigt, dass PANdie Lösung von ihn AV blockieren kann.Wenn nicht, öffnen Sie bitte einen Supportfall, um eine Abdeckung anzufordern.
- Threat Vault (TV)
- Sie können basierend auf Hash, Schlüsselwörtern oder CVEs suchen.
- Threat vaultist eine Datenbank für alle Arten von Signaturen wie AntiVirus, , IPSSpyware DNS und mehr
- Suche TV nach Hash
- Suche TV nach Stichwort:
- URL IOCs:
Bitte suchen Sie nach 'test-a-site' oder Threat-vault.
- IP Adressen alsIOC:
- 45.129.229.48), kann man auch nach "test-a-site" suchen
- Autofokus-Lizenz
- Bitte durchsuchen Sie die Informationen auf Autofokus nach Tags, Bedrohungsgruppen oder unit42-Tags.
Additional Information
Voraussetzungen für Supportfälle:
- Falls Sie keine Informationen über die IOC in Threat Vault, Test-a-Site oder AutoFocus; Bitte öffnen Sie einen Fall mit Support .
- Fügen Sie alle veröffentlichten Berichte hinzu, die Sie von Ihrem Sicherheitsteam erhalten haben.
- Listen Sie die erhaltenen Daten IOC auf.
- Alle externen Forschungsberichte.