は何ですかAV署名生成プロセス?

シグネチャの作成とリアルタイムの脅威保護は、脅威のランドスケープが絶え間なく進化しているため、常に変化しています。この問題に対処するために、Palo Alto Networks は 2 つのアプローチを作成しました。AV標準署名を使用したカバレッジとML-AV(機械学習アンチウイルス)。

顧客は、特定のファイルに適用範囲があるかどうかをよく問い合わせます。最初のステップは検索ですThreat Vault( https://threatvault.paloaltonetworks.com/ ）。Threat Vaultは、Palo Alto Networks が提供するすべてのカバレッジを表示する顧客向けポータルです。このツールは、すぐに入手できる情報を求めるためにサポートにケースを開く必要がなくなるため、最初のステップとしてお客様にとって非常に便利です。これにより、ユーザーの調査時間が短縮されます。CVE、IPアドレス、ハッシュ、署名ID、ドメイン、URL、および IP。

ファイル ハッシュに関して覚えておくべきことは、Palo Alto Networks が SHA256 を使用しているため、ファイルの MD5 が表示されない場合がありますが、それは SHA256 です。SHA256 が使用されているため、これで問題ありません。のハッシュThreat Vault署名の作成または更新に使用されるファイルのハッシュです。 このシグネチャで検出できるすべてのファイルのハッシュのリストではありません。Palo Alto Networks はパターン マッチ検出の方法を採用しているため、1 つのシグネチャが複数のファイルで使用される可能性があります。これにより、悪意のあるパターンがまだ存在する場合、亜種に対してまったく新しいシグネチャを作成しなければならないという問題が高まります。

からの署名作成プロセスWildfire:

0. お客様NGFW（次世代Firewall) 不明なファイルが表示されます

1.ファイルトリガーNGFW転送

2.NGFWファイルをWF(Wildfire ) アナライザークラウド

3. ファイルに対して静的分析が実行され、場合によっては動的分析が実行されます。動的分析はリソースを大量に消費するため、動的分析は次の場合にのみ実行されます。WFより詳細な分析が必要なものを見ています。ファイルにマルウェアの判定が下された場合は、ステップ 4 に進みます。

4.WFアナライザー クラウドはメッセージをAVsiggen (署名生成) のシステム。

5.AVシステムはメッセージを処理し、署名を生成してから、AVデータベース。

署名の配信:

1. . 次の 5 分WFパッケージ -> 署名を受け取り、顧客に届ける必要があります

2. 次の日次AVパッケージ

3. 署名は RTSig (リアルタイム署名) クラウドにもストリーミングされ、クエリ/ストリームに使用できます。

NOTE:

ファイルに悪意があるとマークされ、署名が作成されていない場合、ファイルへの書き込みに問題がある可能性があります。XMLの後のファイルWFアナライザー クラウドはメッセージをAVシグゲンのシステム。このような場合は、コンテンツ エンジニアが手動で siggen プロセスを通じてファイルをプッシュできるように、サポート ケースを開く必要があります。

——

ML-AV (機械学習アンチウイルス)

ML-AV 署名を使用しません。 トレーニング モデルに基づいて動作の類似点を探します。これにより、NGFW適用するデータ プレーンMLファイルに。 各インラインMLモデルは、デコーダ フィールドやパターンなどのファイルの詳細を評価して、ファイルの高確率分類を作成することにより、特定の種類の悪意のあるファイルを動的に検出します。脅威の状況における最新の変化に遅れずについていくために、インラインMLモデルは、コンテンツ リリースによって追加または更新されます。

オンボックスの途中転送AVキャッシュと RTSig クラウド ルックアップが行われ、トレーニング済みモデルのパターン マッチが検索されます。見つかった場合、トラフィックはブロックされます。

ML-AV の代替品ではありませんWildfire署名ではなく、それを補強するものです。