ウイルス対策コンテンツのリリース ノートを使用してウイルス対策/スパイウェア C2 を見つける方法DNS興味のある署名

ウイルス対策コンテンツのリリース ノートを使用してウイルス対策/スパイウェア C2 を見つける方法DNS興味のある署名

8118
Created On 10/29/21 18:07 PM - Last Modified 05/15/23 09:34 AM


Objective


  • ウイルス対策コンテンツのリリース ノートを確認して、誤検知などによる署名/コンテンツの変更がないかどうかを確認します。
  • この記事は、ウイルス対策リリース ノートの内容と、その内容を参照して興味のある項目を見つける方法を理解するのに役立ちます。

Environment


  • パロアルトファイアウォールまたは Panorama
  • PAN-OS9.1、10.0、10.1、10.2
  • 脅威防御ライセンス

Procedure


  1. ウイルス対策シグネチャ
  • ウイルス対策シグネチャは、マルウェア グループ/カテゴリごとに分類されます。
  • マルウェア グループ/カテゴリは、署名の生成時に自動署名生成サーバーによって識別されます。
  • これらのカテゴリには、特定のウイルス対策コンテンツ リリースに何千もの亜種が含まれる可能性があります。
  • ウイルス対策コンテンツのリリース ノートを検索する最良の方法は、目的のバリアントで検索することです。
  • この亜種は、ウイルス対策シグネチャ名の最後のピリオド (.) の後の部分として識別できます。

:

  • ウイルス対策コンテンツ バージョン 3884 にリリースされたシグネチャ「Generic/Win32.favk.daf」は、マルウェア グループ/カテゴリ (Generic/Win32.favk) によって識別され、バリアントは .daf です。

 

例-AV- Sig-lookup.png

 

  • 亜種を検索することで、その亜種をマルウェア グループ/カテゴリに関連付けて、シグネチャがウイルス対策コンテンツ データベースにリリースされたか、削除されたかを識別できます。
  • 一部のマルウェア グループ/カテゴリでは、大量の亜種がグループに追加または削除されているため、マルウェア グループ/カテゴリ名を確認するには上下にスクロールする必要がある場合があります。

 

MalwareGroup-variantCount.png

  • すべてのバリアント リストの先頭にはバリアントの数が含まれており、バリアント リストはアルファベット順に並んでいます。

 

  1. スパイウェアDNSC2署名
  • Spyware C2 シグネチャの場合、顧客は問題のドメイン全体またはシグネチャ名全体を使用して検索できます。

SpywareSignatureSearch.png

  1. PanOS の IP が提供する EDL
  • パロアルトネットワークスがホストするさまざまな EDL で識別された IP については、特定の IP 自体の検索を実行できます。

IPSearchInContentRelease.png

 

  1. コンテンツのリリースノートのセクション
  • 各ウイルス対策コンテンツ リリース ノート パッケージ内にはさまざまなセクションがあります。 各セクションは、参照されているコンテンツのタイプを識別します。
  • コンテンツが追加または削除されているか (新規または古い)、セクションにリストされているエントリの数。
  • エントリの数はセクション ヘッダーの後の括弧内にあります。

用語 "NEW 」は追加されるコンテンツを示します。

  • 新しいウイルス対策シグネチャ - コンテンツ データベースに追加されたウイルス対策シグネチャ
  • 新しいスパイウェアDNSC2 署名 — コンテンツ データベースに追加された C2 署名
  • 新しい Spyware Autogen C2 署名 - 自動生成された C2 署名がコンテンツ データベースに追加されます
  • 新しいIP悪意のあるIPフィード - 悪意のある IP が「既知の悪意のある」に追加されましたIP」EDL PanOS でGUI: オブジェクト -> 外部動的リスト
  • 新しいIP疑わしいIPフィード - 不審な IP を「高リスク」に追加IP」EDL PanOS でGUI: オブジェクト -> 外部動的リスト
  • 新しいIP防弾IPフィード — 特定された Bulletproof IP が「Bulletproof」に追加されましたIP」EDL PanOS でGUI: オブジェクト -> 外部動的リスト
  • 新しいIPトール出口IPフィード — Tor 出口ノード IP が「Tor 出口」に追加されましたIP」EDL PanOS でGUI: オブジェクト -> 外部動的リスト

「古い」という用語は、削除されるコンテンツを示します。

  • 古いウイルス対策シグネチャ - コンテンツ データベースから削除されたウイルス対策シグネチャ
  • 古いスパイウェアDNSC2 署名 — コンテンツ データベースから削除された C2 署名
  • 古い Spyware Autogen C2 署名 - 自動生成された C2 署名がコンテンツ データベースから削除されます
  • 年IP悪意のあるIPフィード — 悪意のある IP が「既知の悪意のある」から削除されましたIP」EDL PanOS でGUI: オブジェクト -> 外部動的リスト
  • 年IP疑わしいIPフィード - 不審な IP を「高リスク」から削除IP」EDL PanOS でGUI: オブジェクト -> 外部動的リスト
  • 年IP防弾IPフィード — 特定された Bulletproof IP が「Bulletproof」から削除されましたIP」EDL PanOS でGUI: オブジェクト -> 外部動的リスト
  • 年IPトール出口IPフィード — Tor 出口ノード IP が「Tor 出口」から削除されましたIP」EDL PanOS でGUI: オブジェクト -> 外部動的リスト
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oMiUCAU&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language