如何在支持案例之前检查针对恶意软件或漏洞的妥协指示 (IoC) 的覆盖请求。
27004
Created On 01/24/22 00:47 AM - Last Modified 02/22/24 17:26 PM
Objective
Palo Alto Networks 提供免费的安全研究工具来研究新发布的恶意软件活动、漏洞或其他已经存在的恶意软件、散列、URL ,DNS签名等等。
如果无法通过搜索获得所需信息PAN提供的安全工具,请打开支持案例。
Environment
- 任何PAN产品
- 任何PAN-OS
Procedure
Palo Alto 网络用户可以使用两种免费工具和一种付费工具来帮助搜索恶意软件威胁活动。
- 免费工具:
- Threat Vault.
- 现场测试(https://urlfiltering.paloaltonetworks.com/query/)
- 付费工具:
A威胁活动报告包含妥协指示 (IOC):例如哈希、URL、IP地址等等。
- 通过搜索引擎(google、bing 等)搜索外部资源以查找有关该威胁的更多信息。 搜索可能会或可能不会显示更多 IoC。
- 示例 1 : 哈希:哈希可以采用 sha256、sha1 或 MD5 格式。 获取该哈希并搜索威胁库.A可以在 threat-vault 中搜索文件 (a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92) 的 SHA256 哈希值。
- 如果PAN有一个AV签名关联哈希。确认PAN的AV解决方案可以阻止它。如果没有,请打开支持案例以请求覆盖。
- Threat Vault (TV )
- 您可以根据哈希、关键字或 CVE 进行搜索。
- Threat vault是所有类型签名的数据库,例如 AntiVirus,IPS , 间谍软件,DNS和更多
- 搜索TV通过哈希
- 搜索TV按关键字:
- URL 国际奥委会:
请搜索“test-a-site”或 Threat-vault。
- IP地址为IOC:
- 45.129.229.48),也可以搜索“现场测试“
- 自动对焦许可证
- 请按标签、威胁组或 unit42 标签搜索有关 Auto-Focus 的信息。
Additional Information
支持案例要求:
- 如果您找不到任何关于IOC在Threat Vault, 测试站点或AutoFocus;请打开一个案例支持.
- 添加您从安全团队收到的任何已发布报告。
- 列出IOC你收到了。
- 任何外部研究报告。