So verwenden Sie die Versionshinweise zu Antivirus-Inhalten, um interessante Antivirus-/Spyware-C2-Signaturen DNS zu finden

So verwenden Sie die Versionshinweise zu Antivirus-Inhalten, um interessante Antivirus-/Spyware-C2-Signaturen DNS zu finden

8116
Created On 10/29/21 18:07 PM - Last Modified 05/15/23 09:34 AM


Objective


  • Um die Versionshinweise für Antivirus-Inhalte auf Signatur-/Inhaltsänderungen zu überprüfen, die aufgrund von Fehlalarmbedingungen oder aus anderen Gründen vorgenommen wurden.
  • Dieser Artikel hilft Ihnen, sich mit dem Inhalt der Antivirus-Versionshinweise vertraut zu machen und zu erfahren, wie Sie den Inhalt nach interessanten Elementen durchsuchen können.

Environment


  • Palo Alto Firewalls oder Panorama
  • PAN-OS9.1, 10.0, 10.1, 10.2
  • Threat Prevention-Lizenz

Procedure


  1. Antiviren-Signaturen
  • Antivirus-Signaturen werden nach ihrer Malware-Gruppe/-Kategorie kategorisiert.
  • Die Malware-Gruppe/-Kategorien werden vom Server für die automatische Signaturgenerierung identifiziert, wenn die Signatur generiert wird.
  • Diese Kategorien können Tausende von Varianten in einer bestimmten Antivirus-Inhaltsversion enthalten.
  • Die beste Möglichkeit, die Versionshinweise zu Antivirus-Inhalten zu durchsuchen, besteht darin, nach der gewünschten Variante zu suchen.
  • Die Variante kann als Teil eines Antivirus-Signaturnamens nach dem letzten Punkt (.) identifiziert werden.

Beispiel:

  • Die Signatur "Generic/Win32.favk.daf", die in der Antivirus-Inhaltsversion 3884 veröffentlicht wurde, wird durch ihre Malware-Gruppe/-Kategorie (Generic/Win32.favk) identifiziert und die Variante ist .daf

 

Beispiel-Sig-SucheAV-.png

 

  • Durch die Suche nach der Variante kann die Variante der Malware-Gruppe/-Kategorie zugeordnet werden, um festzustellen, ob eine Signatur in der Antivirus-Inhaltsdatenbank freigegeben oder entfernt wurde.
  • Bei einigen Malware-Gruppen/-Kategorien gibt es eine beträchtliche Anzahl von Varianten, die entweder zur Gruppe hinzugefügt oder entfernt werden, sodass Sie möglicherweise nach oben oder unten scrollen müssen, um den Namen der Malware-Gruppe/-Kategorie zu sehen.

 

MalwareGroup-variantCount.png

  • Am Anfang jeder Variantenliste steht die Anzahl der Varianten und die Variantenliste ist in alphabetischer Reihenfolge.

 

  1. Spyware DNS C2-Signaturen
  • Nach Spyware C2-Signaturen können Kunden anhand der gesamten betreffenden Domain oder des gesamten Signaturnamens suchen.

SpywareSignatureSearch.png

  1. IPs in PanOS bereitgestellten EDLs
  • Für die IPs, die in den verschiedenen EDLs identifiziert werden, die von Palo Alto Networks gehostet werden, kann man eine Suche nach den spezifischen IPs selbst durchführen.

IPSearchInContentRelease.png

 

  1. Abschnitte zu den Versionshinweisen zu Inhalten
  • Es gibt verschiedene Abschnitte in jedem Paket mit Versionshinweisen für Antivirus-Inhalte. Jeder Abschnitt identifiziert die Art des Inhalts, auf den verwiesen wird.
  • ob der Inhalt hinzugefügt oder entfernt wird (Neu oder Alt) und wie viele Einträge in dem Abschnitt aufgeführt sind.
  • Die Anzahl der Einträge steht in Klammern hinter der Abschnittsüberschrift.

Der Begriff ""NEW kennzeichnet Inhalte, die hinzugefügt werden:

  • Neue Antivirus-Signaturen – Antivirus-Signaturen, die der Inhaltsdatenbank hinzugefügt wurden
  • Neue Spyware DNS C2-Signaturen – C2-Signaturen, die der Inhaltsdatenbank hinzugefügt wurden
  • Neue Spyware Autogen C2 Signatures – C2-Signaturen, die automatisch generiert wurden, werden der Inhaltsdatenbank hinzugefügt
  • Neuer IP bösartiger IP Feed – Bösartige IPs, die zu den "Bekannten bösartigen IP" EDL in den externen dynamischen Listen von PanOS GUIhinzugefügt wurden: Objekte ->
  • Neuer IP verdächtiger IP Feed – Verdächtige IPs zum "Hohes Risiko IP" EDL in den externen dynamischen Listen von PanOS GUIhinzugefügt: Objekte ->
  • Neuer IP Bulletproof-Feed – Identifizierte Bulletproof-IPs zu "Bulletproof IP IP" EDL in den PanOS GUIhinzugefügt: Objekte -> externen dynamischen Listen
  • IP Neuer IP Tor-Exit-Feed – Tor-Exit-Knoten-IPs zum "Tor-Exit" EDL in PanOS GUIhinzugefügt: Objekte -IP> Externe dynamische Listen

Der Begriff "Alt" kennzeichnet Inhalte, die entfernt werden:

  • Alte Antivirus-Signaturen – Antivirus-Signaturen, die aus der Inhaltsdatenbank entfernt wurden
  • Alte Spyware DNS C2-Signaturen – C2-Signaturen, die aus der Inhaltsdatenbank entfernt wurden
  • Alte Spyware Autogen C2-Signaturen – C2-Signaturen, die automatisch generiert wurden, werden aus der Inhaltsdatenbank entfernt
  • Alter IP bösartiger Feed - Bösartige IPs, die aus den "bekannten IPEDL bösartigen " in den PanOS GUIentfernt wurden: Objekte -> externen IP dynamischen Listen
  • Alter IP verdächtiger IP Feed - Verdächtige IPs wurden aus dem "Hohes Risiko IP" EDL in den externen dynamischen Listen von PanOS GUIentfernt: Objekte ->
  • Alter IP Bulletproof-Feed – Identifizierte kugelsichere IPs wurden aus dem "Bulletproof IP IP" EDL in den PanOS GUIentfernt: Objekte -> externen dynamischen Listen
  • Alter IP Tor-Exit-Feed – Tor-Exit-Knoten-IPs IP aus dem "Tor-Exit" EDL in PanOS GUIentfernt: Objekte -IP> Externe dynamische Listen
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oMiUCAU&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language