Content 555 で追加された新機能:エクスプロイト キットとフィッシング脆弱性カテゴリ

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

Threat content 555 new features: exploit kit and phishing vulnerability profile categories

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm2rCAC

 

 

2016年2月3日にリリースされたContent 555において、フィッシング攻撃とエクスプロイト キット(Angler, Rig, Nuclear, Magnitude, Fiesta等)用に2つのカテゴリが追加されました。

 

これらの新しいカテゴリは、PAN-OS 7.0.x 以上でのみ機能します。

 

新規に脆弱性防御プロファイルを作成する際に、"exploit-kit" と "phishing" カテゴリに絞って検知と制御を行うように設定できます。

 

以下に、その手順を示します。

 

  1. ウェブGUIにログインします。
  2. Objects へ移動します。1.PNG

  3. "セキュリティ プロファイル" > "脆弱性防御" へ移動します。
    5.PNG

  4. "追加" をクリックします。
  5. "名前" のボックスにプロファイル名を入力します。
  6. "追加" をクリックします。
  7. "ルール名" を設定します。例として、"Exploit Kits" を使います。
  8. "アクション" として "両方のリセット" を選択します。
  9. "カテゴリ" として "exploit-kit" を選択します。
  10. "パケット キャプチャ" では "extended-capture" を選択します。エクスプロイト キットは大きな脅威であるため、その脅威のトリガのなった情報をできる限り多く取得することが重要です。
  11. このルールは以下のスクリーンショットのようになります。2.PNG

  12. OKをクリックし、設定を保存します。
  13. 別途、フィッシング用に新しいルールを作成します。
  14. "ルール名" を設定します。例として、"Phishing" を使います。
  15. "アクション" として "両方のリセット" を選択します。
  16. "カテゴリ" として "phishing" を選択します。
  17. このルールは以下のスクリーンショットのようになります。3.PNG

    このプロファイルは以下のスクリーンショットのようになります。4.PNG 

    プロファイル内でどのシグネチャがどのルールに関連するかを視覚的に得るためには、"一致するシグネチャを検出" ボタンをクリックします。これにより、ルールにマッチする全てのシグネチャのリストが表示されます。この機能によって、作成したプロファイルの該当シグネチャが "両方のリセット" アクションで適用されている事を再確認することができます。
  18. OKをクリックします。

 

これで "Exploit Kit and Phishing" という名前のプロファイルの完成です。このプロファイルは、任意のセキュリティ ポリシーに適用することができます。

 

今後シグネチャの発生トリガを調査する際には、脅威ログをカテゴリ タイプで検索できるようになるので効果的です。

 

q1.PNG