Comment vérifier la demande de couverture pour l’indication de compromission (IoC) pour les logiciels malveillants ou les vulnérabilités avant un cas de support.
27038
Created On 01/24/22 00:47 AM - Last Modified 02/22/24 17:26 PM
Objective
Palo Alto Networks fournit des outils de recherche de sécurité gratuits pour rechercher des campagnes de logiciels malveillants récemment publiées, des vulnérabilités ou d’autres logiciels malveillants, hachages, signatures, URLDNS etc. déjà existants.
Si les informations requises ne sont pas disponibles en recherchant l'un PANdes outils de sécurité fournis, veuillez ouvrir le dossier de support.
Environment
- Tous les PAN produits
- Quelconque PAN-OS
Procedure
Il existe deux outils gratuits, et un outil payant est disponible pour les utilisateurs du réseau Palo Alto pour aider à la recherche de campagnes de menaces de logiciels malveillants.
- Outils gratuits :
- Threat Vault.
- Test-a-Site (https://urlfiltering.paloaltonetworks.com/query/)
- Outils payants :
A tels que les hachages, les URL, IP les adresses, etc.
- Recherchez des sources externes par les moteurs de recherche (google, bing, etc.) pour trouver plus d’informations sur cette menace. La recherche peut ou non afficher plus d’IoC.
- Exemple 1 : hachages : les hachages peuvent être sous la forme sha256, sha1 ou MD5. Prenez ce hachage et recherchez dans Threat-vault. A Le hachage SHA256 du fichier (a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92) peut être recherché dans threat-vault.
- Si PAN a un hachage associé à une AV signature. a confirmé que PANla solution de AV est peut le bloquer.Si ce n’est pas le cas, veuillez ouvrir un dossier d’assistance pour demander une couverture.
- Threat Vault (TV)
- Vous pouvez effectuer une recherche basée sur le hachage, les mots clés ou les CVE.
- Threat vaultest une base de données pour tous les types de signatures telles que AntiVirus, , Spyware, IPSetc. DNS
- Recherche TV par hachage
- Recherche TV par mot-clé :
- URL CIO:
Veuillez effectuer une recherche sur « test-a-site » ou Threat-vault.
- IP adresses comme IOC:
- 45.129.229.48), on peut aussi rechercher ce « test-a-site »
- Licence Auto-Focus
- Veuillez rechercher les informations sur Auto-Focus par tags, groupes de menaces ou tags unit42.
Additional Information
Conditions requises pour le cas de support :
- Si vous ne trouvez aucune information sur le IOC dans Threat Vault, Test-a-Site ou AutoFocus; veuillez ouvrir un dossier auprès du support .
- Ajoutez tout rapport publié que vous avez reçu de votre équipe de sécurité.
- Dressez la liste des IOC éléments que vous avez reçus.
- Tout rapport de recherche externe.