Qu’est-ce que le processus de génération de AV signatures?

La création de signatures et la protection contre les menaces en temps réel sont en constante évolution en raison de l'évolution continue du paysage des menaces ; pour lutter contre cela, Palo Alto Networks a créé une double approche de couverture utilisant AV des signatures standard et ML-AV (Machine Learning Antivirus).

Les clients demandent souvent s’il existe une couverture pour des dossiers particuliers.La première étape est une recherche sur Threat Vault (https://threatvault.paloaltonetworks.com/).  Threat Vault est un portail orienté client montrant toute la couverture de Palo Alto Networks.Cet outil est extrêmement utile pour les clients dans un premier temps, car il peut éviter d’avoir à ouvrir un dossier auprès du support pour demander des informations facilement disponibles.Cela accélère le temps de recherche des utilisateurs.Les clients peuvent rechercher une myriade d’indicateurs tels que les CVE, les adresses, les hachages, les signaturesID, les domaines, IP les URL et les adresses IP.

Quelque chose à garder à l’esprit en ce qui concerne les hachages de fichiers est que Palo Alto Networks utilise le SHA256, donc il peut y avoir des moments où le MD5 d’un fichier n’apparaît pas, mais c’est SHA256 le fait.C’est très bien car le SHA256 est ce qui est utilisé.Les hachages dans Threat Vault sont le hachage du ou des fichiers utilisés pour créer ou mettre à jour la signature. Il ne s’agit pas d’une liste des hachages de tous les fichiers qui peuvent être détectés avec cette signature.Palo Alto Networks utilise une méthode de détection de correspondance de modèle afin qu’une seule signature puisse être utilisée dans plusieurs fichiers, ce qui soulève le problème de la création d’une signature entièrement nouvelle pour une variante si le modèle malveillant est toujours présent.

Processus de création de signature à partir de Wildfire:

0. Le client NGFW (Next-Generation Firewall) voit un fichier inconnu

1. Le fichier déclenche le NGFW transfert

2. Le NGFW soumet le fichier à (WFWildfire) Analyzer Cloud

3. L’analyse statique est exécutée sur le fichier et éventuellement l’analyse dynamique.L’analyse dynamique étant si gourmande en ressources, l’analyse dynamique n’est exécutée que si WF elle détecte quelque chose qui nécessite une analyse plus approfondie.Si le fichier reçoit un verdict de logiciel malveillant, il passe à l’étape 4.

4. Le WF nuage d’analyseur envoie un message au AV système pour siggen (génération de signature).

5. Le AV système traite le message, génère une signature, puis le stocke dans la base de AV données.

Livraison de signature :

1. . Prochain colis de 5 minutes WF - > signature doit être ramassé et livré aux clients

2. Prochain forfait journalier AV

3. La signature est également diffusée sur le cloud RTSig (Real-Time Signature) et disponible pour la requête / le flux.

NOTE:

Lorsqu'un fichier est marqué comme malveillant et qu'aucune signature n'a été créée pour celui-ci, il peut y avoir un problème d'écriture dans le fichier après que le nuage de l'analyseur ait envoyé le message au AV système pour le XML WF siggen.Lorsque cela se produit, un dossier de support doit être ouvert afin que les ingénieurs de contenu puissent pousser manuellement le fichier à travers le processus siggen.

——

ML-AV (Antivirus Machine Learning)

ML-AV n’utilise pas de signatures. Il recherche des similitudes dans le comportement basé sur des modèles d’entraînement.Il permet au plan de données de s’appliquer NGFW ML aux fichiers. Chaque modèle en ligne détecte dynamiquement les fichiers malveillants d’un type spécifique en ML évaluant les détails des fichiers, y compris les champs et les modèles de décodeur, afin de formuler une classification à forte probabilité d’un fichier.Pour suivre les dernières évolutions du paysage des menaces, des modèles en ligne ML sont ajoutés ou mis à jour via des versions de contenu.

Au milieu du transfert, un cache intégré AV et une recherche dans le cloud RTSig auront lieu pour rechercher des correspondances de modèles entraînés.Si l’on en trouve un, le trafic sera bloqué.

ML-AV ne remplace Wildfire pas les signatures, mais en est plutôt une augmentation.