Que signifie « Version actuelle : s.o. » sur ThreatVault ?
14653
Created On 02/10/22 08:29 AM - Last Modified 01/27/23 02:16 AM
Symptom
ThreatVault affiche « Version actuelle : s.o. » pour certaines signatures.
Exemple:
Resolution
« Version actuelle : s.o. » signifie que la signature n’est pas actuellement dans l’état « libéré ». Fondamentalement, il est dans l'état « désactivé » ou « remplacé » (expliqué plus tard). L’état reflète l’état de la signature dans la base de données de Palo Alto Networks. Cela signifie, par exemple, que si la signature est désactivée dans la base de données, ThreatVault affichera « Version actuelle : n/a » avant même que le package de signature antivirus correspondant ne soit publié. Il y a donc un décalage temporel avec le calendrier de publication réel.
- « handicapé »
A la signature peut être désactivée en raison d’un faux positif ou d’autres raisons. Une fois désactivée, la signature n'est plus libérée.
- « remplacé »
Étant donné que le nombre de signatures pouvant entrer dans le package de signatures n’est pas illimité, lors de l’ajout de nouvelles signatures, certaines signatures sont remplacées à la place. Les signatures du malware actif sont conservées dans le package. Les signatures des logiciels malveillants les moins actifs sont remplacées. Cela signifie également que lorsque le logiciel malveillant correspondant est à nouveau vu dans la nature, par exemple si l’échantillon est téléchargé dans le WildFire cloud, la signature « remplacée » est à nouveau libérée.
Point clé :
Même si vous voyez « Version actuelle: n/a » sur ThreatVault, cela ne signifie pas toujours qu'il y a eu un problème de faux positif avec la signature.
Additional Information
Voir aussi :
WHAT ARE SUSPICIOUS DNS QUERIES?https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm5kCAC