如何使用 Antivirus Content Release Notes 查找 Antivirus/Spyware C2DNS感兴趣的签名
8112
Created On 10/29/21 18:07 PM - Last Modified 05/15/23 09:34 AM
Objective
- 检查防病毒内容发行说明,了解因误报情况或其他原因所做的签名/内容更改。
- 本文将帮助您熟悉 Antivirus 发行说明的内容以及如何浏览内容以查找感兴趣的项目。
Environment
- 帕洛阿尔托防火墙或 Panorama
- PAN-OS9.1, 10.0, 10.1, 10.2
- 威胁防御许可证
Procedure
- 防病毒签名
- 防病毒签名按其恶意软件组/类别分类。
- 生成签名时,自动签名生成服务器会识别恶意软件组/类别。
- 这些类别在任何特定的防病毒内容版本中都可能包含数千个变体。
- 搜索防病毒内容发行说明的最佳方法是按感兴趣的变体进行搜索。
- 变体可以被识别为防病毒签名名称中最后一个句点 (.) 之后的部分。
例子:
- 发布到防病毒内容版本 3884 中的签名“Generic/Win32.favk.daf”由其恶意软件组/类别 (Generic/Win32.favk) 标识,变体为 .daf
- 通过搜索变体,可以将变体与恶意软件组/类别相关联,以确定签名是否已发布到防病毒内容数据库中或是否已被删除。
- 对于某些恶意软件组/类别,有大量变体被添加到组中或被删除,因此您可能需要向上或向下滚动才能看到恶意软件组/类别名称。
- 每个变体列表的开头包含变体的数量,并且变体列表按字母顺序排列。
- 间谍软件DNSC2 签名
- 对于间谍软件 C2 签名,客户可以使用整个相关域或整个签名名称进行搜索。
- PanOS 中的 IP 提供了 EDL
- 对于在帕洛阿尔托网络托管的各种 EDL 中标识的 IP,可以自行搜索特定的 IP。
- 内容发行说明部分
- 每个防病毒内容发行说明包中都有不同的部分。 每个部分标识所引用内容的类型,
- 如果正在添加或删除内容(新的或旧的),以及该部分中列出的条目数。
- 条目数在节标题后的括号中。
期限 ”NEW ”标识正在添加的内容:
- 新的防病毒签名 - 添加到内容数据库的防病毒签名
- 新间谍软件DNSC2 签名 — 添加到内容数据库的 C2 签名
- 新的间谍软件 Autogen C2 签名——自动生成的 C2 签名被添加到内容数据库中
- 新的IP恶意的IP提要——恶意 IP 添加到“已知恶意IP”EDL在泛操作系统GUI: 对象 -> 外部动态列表
- 新的IP可疑的IPfeed — 添加到“高风险”的可疑 IPIP ”EDL在泛操作系统GUI: 对象 -> 外部动态列表
- 新的IP防弹IPfeed——已识别的 Bulletproof IP 添加到“BulletproofIP ”EDL在泛操作系统GUI: 对象 -> 外部动态列表
- 新的IPTor 出口IPfeed — 添加到“Tor 出口”的 Tor 出口节点 IPIP ”EDL在泛操作系统GUI: 对象 -> 外部动态列表
术语“旧”标识被删除的内容:
- 旧防病毒签名 - 从内容数据库中删除的防病毒签名
- 旧间谍软件DNSC2 签名——从内容数据库中删除的 C2 签名
- 旧间谍软件 Autogen C2 签名——自动生成的 C2 签名已从内容数据库中删除
- 老的IP恶意的IPfeed——从“已知恶意”中删除的恶意 IPIP ”EDL在泛操作系统GUI: 对象 -> 外部动态列表
- 老的IP可疑的IPfeed——从“高风险”中删除的可疑 IPIP ”EDL在泛操作系统GUI: 对象 -> 外部动态列表
- 老的IP防弹IPfeed — 从“Bulletproof”中删除的已识别 Bulletproof IPIP ”EDL在泛操作系统GUI: 对象 -> 外部动态列表
- 老的IPTor 出口IPfeed — Tor 出口节点 IP 从“Tor 出口”中删除IP”EDL在泛操作系统GUI: 对象 -> 外部动态列表