DNS在没有支持案例的情况下,是否可以处理防伪软件签名潜在的误报?
17471
Created On 07/03/20 20:52 PM - Last Modified 07/23/24 17:51 PM
Question
通常,可能会有一个合法的域被观察为恶意错误或类似于恶意活动。在打开支持案例之前,我们是否有办法处理此类问题?
Environment
- PAN-OS 8.1 或更高
- 威胁防护许可证
Answer
在初始调查中,如果 a URL FQDN 或是内部或未显示恶意指示器,但以 DNS 签名标记,则继续通过 URL urlfiltering.paloaltonetworks.com
如果接受类别更改请求,则依次请求类别更改:
- 禁用相应的 DNS 签名(大多数时间),如果有的话。禁用签名将从防病毒内容中取出(通常在 48 小时内)。
示例:对于从恶意软件到具有签名的域的业务和经济的类别更改 DNS ,工程的分类操作也反过来是禁用 DNS 日志中观察到的签名。
- 客户可以 DNS 使用 DNS 签名威胁 ID (可通过 threatvault.paloaltonetworks.com验证)实施威胁异常,以便在用户影响时解决问题。