Comment utiliser les notes de mise à jour du contenu antivirus pour trouver des signatures antivirus/spyware C2 DNS d’intérêt

Comment utiliser les notes de mise à jour du contenu antivirus pour trouver des signatures antivirus/spyware C2 DNS d’intérêt

8114
Created On 10/29/21 18:07 PM - Last Modified 05/15/23 09:34 AM


Objective


  • Pour vérifier les notes de version du contenu antivirus pour les modifications de signature/contenu apportées en raison de conditions faussement positives ou autres.
  • Cet article vous aidera à vous familiariser avec le contenu des notes de version de l’antivirus et à parcourir le contenu des éléments d’intérêt.

Environment


  • Pare-feu Palo Alto ou Panorama
  • PAN-OS9.1, 10.0, 10.1, 10.2
  • Licence de prévention des menaces

Procedure


  1. Signatures antivirus
  • Les signatures antivirus sont classées par groupe/catégorie de logiciels malveillants.
  • Le groupe/les catégories de programmes malveillants sont identifiés par le serveur de génération de signature automatique lorsque la signature est générée.
  • Ces catégories peuvent contenir des milliers de variantes dans n’importe quelle version de contenu antivirus.
  • La meilleure façon d’effectuer une recherche dans les notes de mise à jour du contenu antivirus est d’effectuer une recherche par variante qui vous intéresse.
  • La variante peut être identifiée comme la partie d’un nom de signature antivirus après la dernière période (.).

Exemple :

  • La signature « Generic/Win32.favk.daf », qui a été publiée dans la version de contenu antivirus 3884, est identifiée par son groupe/catégorie de logiciels malveillants (Generic/Win32.favk) et la variante est .daf

 

Exemple-Sig-lookupAV-.png

 

  • En recherchant la variante, on peut l’associer au groupe/catégorie de logiciels malveillants pour identifier si une signature a été publiée dans la base de données de contenu antivirus ou si elle a été supprimée.
  • Pour certains groupes/catégories de logiciels malveillants, il existe un nombre important de variantes ajoutées au groupe ou en cours de suppression, de sorte que vous devrez peut-être faire défiler vers le haut ou vers le bas pour voir le nom du groupe / catégorie de logiciels malveillants.

 

MalwareGroup-variantCount.png

  • Le début de chaque liste de variantes contient le nombre de variantes et la liste des variantes est par ordre alphabétique.

 

  1. Signatures de logiciels espions DNS C2
  • Pour les signatures Spyware C2, les clients peuvent effectuer une recherche en utilisant l’ensemble du domaine en question ou le nom entier de la signature.

SpywareSignatureSearch.png

  1. IP dans PanOS fourni EDL
  • Pour les adresses IP identifiées dans les différentes EDL hébergées par Palo Alto Networks, on peut effectuer une recherche pour les adresses IP spécifiques elles-mêmes.

IPSearchInContentRelease.png

 

  1. Sections des notes de mise à jour de contenu
  • Il existe différentes sections dans chaque package de notes de mise à jour de contenu antivirus. Chaque section identifie le type de contenu référencé,
  • si le contenu est ajouté ou supprimé (Nouveau ou Ancien) et combien d’entrées sont répertoriées dans la section.
  • Le nombre d’entrées est entre parenthèses après l’en-tête de section.

Le terme «NEW » identifie le contenu ajouté :

  • Nouvelles signatures antivirus — Signatures antivirus ajoutées à la base de données de contenu
  • Nouvelles signatures C2 des logiciels espions — Signatures C2 ajoutées DNS à la base de données de contenu
  • Nouvelles signatures C2 Autogen de logiciels espions — Ajout des signatures C2 générées automatiquement à la base de données de contenu
  • Nouveau IP flux malveillant IP — Adresses IP malveillantes ajoutées à la section « Malveillant IPEDL connu » dans le PanOS GUI: Objets -> listes dynamiques externes
  • Nouveau IP flux suspect IP — Adresses IP suspectes ajoutées au « Risque IPélevé » EDL dans le PanOS GUI: Objets -> listes dynamiques externes
  • Nouveau IP flux Bulletproof — Adresses IP Bulletproof identifiées ajoutées au « Bulletproof IP IP » EDL dans le PanOS GUI: Objets -> Listes dynamiques externes
  • Nouveau IP flux de sortie Tor — IP du nœud Tor Exit ajoutées à la « sortie IP IPTor » EDL dans le PanOS GUI: Objets -> Listes dynamiques externes

Le terme « Ancien » identifie le contenu supprimé :

  • Anciennes signatures antivirus — Signatures antivirus supprimées de la base de données de contenu
  • Anciennes signatures C2 de logiciels espions DNS — Signatures C2 supprimées de la base de données de contenu
  • Signatures C2 de l’ancien logiciel espion Autogen — Les signatures C2 générées automatiquement sont supprimées de la base de données de contenu
  • Ancien IP flux malveillant IP — Adresses IP malveillantes supprimées de la section « Malveillant IPEDL connu » dans PanOS GUI: Objets > listes dynamiques externes
  • Ancien IP flux suspect IP — Adresses IP suspectes supprimées du « Risque IPélevé » EDL dans le PanOS GUI: Objets -> Listes dynamiques externes
  • Ancien IP flux Bulletproof — Adresses IP Bulletproof identifiées supprimées de la page « BulletproofIPIP » EDL dans le PanOS GUI: Objets -> listes dynamiques externes
  • Ancien IP flux de sortie Tor — Adresses IP du nœud de sortie Tor supprimées de la « sortie IP IPTor » EDL dans le PanOS GUI: Objets -> Listes dynamiques externes
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oMiUCAU&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language