Was bedeutet "Current Release: n/a" auf ThreatVault?
14657
Created On 02/10/22 08:29 AM - Last Modified 01/27/23 02:16 AM
Symptom
ThreatVault zeigt für einige Signaturen "Current Release: n/a" an.
Beispiel:
Resolution
"Aktuelle Version: n/a" bedeutet, dass sich die Signatur derzeit nicht im Status "Freigegeben" befindet. Grundsätzlich befindet es sich entweder im Status "deaktiviert" oder "ersetzt" (später erläutert). Der Status spiegelt den Signaturstatus in der Datenbank wider, über die Palo Alto Networks verfügt. Das heißt, wenn beispielsweise die Signatur in der Datenbank deaktiviert ist, zeigt ThreatVault "Aktuelle Version: n/a" an, noch bevor das entsprechende Anti-Virus-Signaturpaket veröffentlicht wird. Es gibt also eine Zeitlücke mit dem tatsächlichen Release-Timing.
- "behindert"
A Signatur kann aufgrund von False Positive oder aus anderen Gründen deaktiviert werden. Sobald es deaktiviert ist, wird die Signatur nicht mehr freigegeben.
- "ersetzt"
Da die Anzahl der Signaturen, die in das Signaturpaket gelangen können, nicht unbegrenzt ist, werden beim Hinzufügen neuer Signaturen stattdessen einige Signaturen ersetzt. Die Signaturen für die aktive Malware werden im Paket gespeichert. Die Signaturen für die weniger aktive Malware werden ersetzt. Das bedeutet auch: Wenn die entsprechende Malware wieder in freier Wildbahn zu sehen ist, z.B. das Sample in die WildFire Cloud hochgeladen wird, dann wird die "ersetzte" Signatur wieder freigegeben.
Kernpunkt:
Selbst wenn auf ThreatVault "Current Release: n/a" angezeigt wird, bedeutet dies nicht immer, dass ein False Positive-Problem mit der Signatur aufgetreten ist.
Additional Information
Siehe auch:
WHAT ARE SUSPICIOUS DNS QUERIES?https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm5kCAC