Cómo verificar la solicitud de cobertura para la indicación de compromiso (IoC) para malware o vulnerabilidades antes de un caso de soporte.
25649
Created On 01/24/22 00:47 AM - Last Modified 02/22/24 17:26 PM
Objective
Palo Alto Networks proporciona herramientas gratuitas de investigación de seguridad para investigar campañas de malware recientemente publicadas, vulnerabilidades u otro malware, hashes, URLDNS firmas y más ya existentes.
Si la información requerida no está disponible buscando las PANherramientas de seguridad proporcionadas, abra el caso de soporte.
Environment
- Cualquier PAN producto
- Cualquier PAN-OS
Procedure
Hay dos herramientas gratuitas, y una herramienta de pago está disponible para los usuarios de la red de Palo Alto para ayudar en la búsqueda de campañas de amenazas de malware.
- Herramientas gratuitas:
- Threat Vault.
- Test-a-Site (https://urlfiltering.paloaltonetworks.com/query/)
- Herramientas de pago:
A el informe de campaña de amenazas contiene la indicación de compromiso (IOC): como hashes, URL, IP direcciones y más.
- Busque fuentes externas por motores de búsqueda (google, bing, etc.) para encontrar más información sobre esa amenaza. La búsqueda puede o no mostrar más IoCs.
- Ejemplo 1: Hashes: Los hashes pueden tener el formato sha256, sha1 o MD5. Tome ese hash y busque en Threat-vault. A El hash SHA256 del archivo (a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92) se puede buscar en threat-vault.
- Si PAN tiene una AV firma asociada hash. confirmó que PANla solución de AV puede bloquearla.Si no es así, abra un caso de soporte para solicitar cobertura.
- Threat Vault (TV)
- Puede buscar en función de hash, palabras clave o CVE.
- Threat vaultes una base de datos para todo tipo de firmas, como AntiVirus, , IPSDNS Spyware y más
- Buscar TV por hash
- Buscar TV por palabra clave:
- URL Iocs:
Busque en 'test-a-site' o Threat-vault.
- IP direcciones comoIOC:
- 45.129.229.48), también se puede buscar ese "test-a-site"
- Licencia de enfoque automático
- Busque la información sobre enfoque automático por etiquetas, grupos de amenazas o etiquetas unit42.
Additional Information
Requisitos para el caso de soporte:
- En caso de que no encuentre ninguna información sobre el IOC en Threat Vault, Test-a-Site o AutoFocus; abra un caso con Soporte .
- Agregue cualquier informe publicado que haya recibido de su equipo de seguridad.
- Enumere los IOC que ha recibido.
- Cualquier informe de investigación externo.