¿Cuál es el significado de "Versión actual: n/d" en ThreatVault?
14661
Created On 02/10/22 08:29 AM - Last Modified 01/27/23 02:16 AM
Symptom
ThreatVault muestra "Versión actual: n/a" para algunas firmas.
Ejemplo:
Resolution
"Versión actual: n/d" significa que la firma no está actualmente en estado "liberado". Básicamente, está en estado "deshabilitado" o "reemplazado" (explicado más adelante). El estado refleja el estado de la firma en la base de datos que tiene Palo Alto Networks. Eso significa, por ejemplo, que si la firma está deshabilitada en la base de datos, ThreatVault mostrará "Versión actual: n/a" incluso antes de que se publique el paquete de firma antivirus correspondiente. Por lo tanto, hay una brecha de tiempo con el momento real del lanzamiento.
- "deshabilitado"
A la firma puede deshabilitarse debido a un falso positivo u otras razones. Una vez que se deshabilita, la firma ya no se libera.
- "reemplazado"
Dado que el número de firmas que pueden ingresar al paquete de firmas no es ilimitado, al agregar nuevas firmas, algunas firmas se reemplazan en su lugar. Las firmas del malware activo se guardan en el paquete. Se reemplazan las firmas para el malware menos activo. Eso también significa que cuando el malware correspondiente se ve en la naturaleza nuevamente, por ejemplo, la muestra se carga en la WildFire nube, luego la firma "reemplazada" se libera nuevamente.
Punto clave:
Incluso si ve "Versión actual: n / a" en ThreatVault, no siempre significa que hubo un problema de falso positivo con la firma.
Additional Information
Véase también:
WHAT ARE SUSPICIOUS DNS QUERIES?https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm5kCAC