ナレッジドキュメント

[ This document is written in Japanese. ]   PAN-DB のカテゴリリストです。   URLカテゴリ名 カテゴリ説明 サイト例 備考 Abortion (人口中絶) 中絶に反対または賛成、中絶手続きに関する詳細、中絶を援助またはサポートするフォーラムに関する情報やグループのサイト、中絶推進の結果/効果に関する情報を提供するサイト。 www.prochoiceamerica.org , www.abortbypill.com   Abused Drugs (乱用薬物) 合法および非合法を問わず薬の乱用を促進するサイト、薬物関連の道具の使用や販売、薬の製造や販売に関連するサイト。 www.bombshock.com , www.friendsofcannibas.com   Adult (アダルト) 性的に露骨な内容、文章(言葉を含む)、芸術、または本質的に性的表現がきわどい製品、オンライングループやフォーラム。ビデオチャット、エスコートサービス、ストリップクラブを含むアダルトサービスを宣伝するサイト。 ゲームやコミックであれアダルトコンテンツを含むものはすべてadultにカテゴリ化される。 www.playboyplus.com , www.furrytofurry.com   Alcohol and Tobacco (アルコールとタバコ) アルコールやたばこ製品、関連用品の販売、製造、使用に関連するサイト。 www.wine.com , www.thompsoncigars.com , www.cigarsinternational.com , www.thegoodwineguru.com , www.webtender.com   Auctions (オークション) 個人間での商品売買を促進するサイト。 www.ebay.com   Business and Economy (ビジネスと経済) マーケティング、経営、経済、起業や事業経営に関するサイト。 広告・マーケティング企業も含まれます。企業サイトは、各企業の分野で分類されるべきで、このカテゴリに含むべきではない。fedex.comやups.comといった運送サイトが含まれる。 http://cox.netとhttp://directv.comはケーブル会社であり、"business and economy" でなければならない(タイムワーナーケーブルとコムキャストも同様)。ストリーミング用に個別のサイトがある場合(コムキャストではxfinity.comcast.net)、"streaming media" カテゴリとする。 www.bothsidesofthetable.com/ , www.ogilvy.com , www.geisheker.com/ , www.imageworksstudio.com/ , www.linearcreative.com/   Command and Contorol (コマンド&コントロール) マルウェアに使用されているURLやドメイン、もしくは攻撃者のリモートサーバーから不正なコマンドや意図しないデータを受け取るなどマルウェアに感染しているシステム     Computer and Internet Info (コンピュータとインターネット情報) コンピュータとインターネットに関する一般的な情報。 コンピュータサイエンス、エンジニアリグ、ハードウェア、ソフトウェア、セキュリティ、プログラミングなどに関するサイトも含まれる。プログラミングはreferenceと重複するかもしれないが、メインカテゴリはcomputer and internet infoとなる。 www.redhat.com , www.freebsd.org , www.microsoft.com , www.symantec.com , www.oreilly.com , www.build-your-own-computers.com , www.alexa.com   Content Delivery Networks (コンテンツ配信ネットワーク) 広告、メディア、ファイルなどのようなコンテンツを第三者に配信することを主に行うサイト。 画像サーバを含む。 www.netdna.com , www.edgecast.com   Copyright infringement (著作権侵害) 著作権を侵害したビデオや映画、その他のメディアファイルをダウンロードにより提供する専用のウェブサイトやサービス。 www.moviexk.net   Dating (出会い系) 出会い系、オンラインデートサービス、アドバイス、その他個人的な広告を提供するウェブサイト。 www.match.com , www.eharmony.com , www.okcupid.com   Dynamic DNS (ダイナミックDNS) 提供されたまたは動的なドメイン名とIPアドレスを関連付けるためにダイナミックDNSサービスを利用しているサイト。 ダイナミックDNSサイトは、サイバー攻撃者に対するC&C通信および、他の悪意のある目的のために使用される場合がある。 no-ip.com dyndns.org   Educational Institutions (教育機関) 学校、短期大学、大学、学区、オンラインクラス、その他の学術機関用の公式Webサイト。 小学校、高校、大学など大規模な制定された教育機関を指す。個別指導塾もこのカテゴリとなる。 www.ucla.edu , www.phoenix.edu , www.sfusd.edu   Entertainment and Arts (娯楽と芸術) 映画、テレビ、ラジオ、ビデオ、プログラミングガイド・ツール、マンガ、芸能、博物館、アートギャラリーのサイト。エンターテインメント、有名人、業界のニュースに関するサイトも含まれる。 www.variety.com , www.tmz.com , www.moma.org   Extremism (過激主義・思想) テロや人種差別、ファシズムや人種、異なる民族的背景、宗教や信仰を判別する過激主義・思想を促進するウェブサイト。     Financial Services (金融サービス) オンラインバンキング、ローン、住宅ローン、債務管理、クレジットカード会社、保険会社などの個人金融情報やアドバイスに関するWebサイト。株式市場、証券会社、取引サービスに関するサイトは含まれない。外国為替取引関連サイトを含む。 www.chase.com , www.bofa.com , www.salliemae.com   Gambling (ギャンブル) 本物または仮想のお金の交換を容易にする宝くじやギャンブルのWebサイト。賭けのオッズやプールに関する情報、ギャンブルに関する指導や助言を提供するサイト。ギャンブルを行わないホテルやカジノの企業サイトはTravelにカテゴリ化される。 www.fulltiltpoker.com , www.vegasbettinglines.com   Games (ゲーム) ビデオやコンピュータゲームをオンライン再生やダウンロードできるサイト、ゲーム批評、ヒント、裏技を提供するサイト。非電子ゲームの教育、ボードゲームの販売や交換、関連する出版物やメディアに関するサイト。オンライン懸賞や景品を扱うサイトを含む。 www.gamespot.com , www.xbox360.ign.com , www.1up.com   Government (政治) 地方自治体、州政府、国家政府の公式Webサイト。関係機関、サービス、法律に関するサイトを含む。 公共図書館は除く。 www.ca.gov , www.sfgov.org , www.dmv.ca.gov   Hacking (ハッキング) 通信機器やソフトウェアに対して、違法または疑わしいアクセスや利用に関するサイト。ネットワークやシステムが侵害される可能性のあるプログラムの開発や配布、手順の助言やヒントに関するサイト。また、ライセンスやデジタル著作権システムをバイパスさせるサイトも含まれる。 www.hackspc.com , www.hackthissite.org   Health and Medicine (健康と医療) 一般的な健康に関する情報、問題、伝統医学や現代医学の助言、治癒、治療に関する情報を含むサイト。さまざまな医療分野、慣行、設備、専門家のためのサイトが含まれる。医療保険、美容整形に関するサイトも含まれる。 動物病院を含む。 www.kaiserpermanente.org , www.webmd.com , www.24hourfitness.com   Home and Garden (住まいと庭) 住まいの修繕や管理、建築、設計、建設、装飾、ガーデニングに関する情報、製品、サービスを提供するサイト。 www.bhg.com , www.homedepot.com   Hunting and Fishing (ハンティングとフィッシング) 狩猟や釣りの情報、説明、販売、関連装置や関連用品に関するサイト。 www.wildlifelicense.com , www.outdoorlife.com   Insufficient content (識別困難なWebサイト) テストページやコンテンツが存在しない場合やユーザ向けではないAPIアクセス用のサイト、コンテンツの表示に認証必要などカテゴリ分類が困難なWebサイト。     Internet Communications and Telephony (インターネット通信と電話) ビデオチャット、インスタントメッセージ、電話機能のサービスをサポートまたは提供するサイト。 www.skype.com   Internet Portals (ポータルサイト) 通常、広範なコンテンツやトピックをまとめることでユーザーに対して開始点となるサービスを提供するサイト。 www.yahoo.com , www.qq.com   Job Search (職探し) 求人情報や雇用評価、面接のアドバイスやヒント、雇用主と候補者の両方に対する関連サービスに関するサイト。 www.monster.com , www.linkedin.com/jobs   Legal (法律) 法律、法律サービス、法律事務所、その他法律関連の問題に関する情報、分析、助言に関するサイト。 www.probono.net , www.childlaw.org , www.litigationweb.com   Malware (マルウェア) 悪意あるコンテンツ、実行可能ファイル、スクリプト、ウイルス、トロイの木馬、コードを含むサイト。     Military (軍事) 軍事部門、軍人募集、現在や過去の作戦、関連道具に関する情報や解説のサイト。 www.goarmy.com , www.pentagon.mil   Motor Vehicles (モータービークル) 自動車、オートバイ、ボート、トラック、RVに関して批評、販売、取引、改造、部品、その他関連する議論に関する情報。 www.edmunds.com , www.carfax.com , www.audi.com   Music (音楽) 音楽の販売、配布、情報に関するサイト。音楽アーティスト、グループ、レーベル、イベント、歌詞、音楽ビジネスに関するその他の情報に関するWebサイトを含む。 ストリーミング音楽は含まない。 www.U2.com , www.itunes.com   News (ニュース) オンライン出版物、ニュースワイヤー(オンラインでニュースを送受信するシステム)サービス、その他、現在のイベント、天候、時事問題を集約したサイト。新聞、ラジオ局、雑誌、ポッドキャストを含む。 reddit, delicious, diggのようなソーシャルブックマークサイトを含む。 www.reuters.com , www.abcnews.com , www.weather.com   Not-resolved (未解決) 対象のURLがローカルURLフィルタリングデータベースに存在せず、ファイアウォールがクラウドのデータベースへ接続できない場合。     Nudity (裸体) 作品として性的な意図や意味があるかによらず、人体のヌードやセミヌードを含むサイト。参加者の画像を含むヌーディストやヌーディストサイトも含まれる。 www.nudistbeaches.nl , www.fineartnude.com   Online Storage and Backup (オンラインストレージとバックアップ) ファイルの無料オンラインストレージをサービスとして提供するWebサイト。 flickr.comやshutterfly.comのような写真共有サイトを含む。 www.dropbox.com , www.box.net   Parked (パークドメイン) 限られたコンテンツやクリックスルー広告をホストするURL。ホストに対して収入を生むことがあるが、一般にはエンドユーザにとって有用なコンテンツやサイトが含まれていない。工事中のサイトやフォルダのみのページを含む。 www.parked.com   Peer-to-Peer (ピアツーピア) ターゲットファイルへのデータ、ダウンロードしたプログラム、メディアファイル、その他ソフトウェアアプリケーションへのピアツーピア共有アクセスまたはクライアントを提供するサイト。 シェアウェアやフリーウェアサイトは含まない。bittorrentダウンロード機能を持つサイトが主に含まれる。 www.thepiratebay.org , www.emule-project.net , www.bitcomet.com   Personal Sites and Blogs (個人サイトとブログ) 個人やグループによる、私的なWebサイトやブログ。 最初のコンテンツに基づいて分類されるべき。たとえば誰かがクルマについてのブログを持っている場合は、そのサイトは"motor vehicles"に分類されるべきである。サイトが純粋なブログである場合は、" Personal Sites and Blogs " となります。 www.blogspot.com , www.wordpress.com , www.greatamericanphotocontest.com   Philosophy and Political Advocacy (哲学と政策支援) 哲学や政治的見解に関する情報、視点やキャンペーンを含むサイト。 www.protectmarriage.com , www.bradycampaign.org   Phishing (フィッシング) フィッシングやファーミングによりユーザーから個人情報を取得する、見かけ上は信頼できそうなサイト。     Private IP Addresses (プライベートIPアドレス) このカテゴリにはRFC1918 "Address Allocation for Private Intranets" で定義されたIPアドレスを含む。 10.0.0.0 - 10.255.255.255 (10/8 プレフィックス) 172.16.0.0 - 172.31.255.255 (172.16/12 プレフィックス) 192.168.0.0 - 192.168.255.255 (192.168/16 プレフィックス) 169.254.0.0 - 169.254.255.255 (169.254/16 プレフィックス) また*.localのような公共のDNSシステムに登録されていないドメインが含まれる。     Proxy Avoidance and Anonymizers (プロキシ回避と匿名プロキシ) プロキシサーバやその他方式でURLフィルタリングやURL監視をバイパスするサイト。 www.proxify.com , www.proxy-anonymizer.com   Questionable (疑わしいサイト) 下品なユーモア、特定層の個人やグループをターゲットにした不快なコンテンツ、犯罪行為、違法行為、手早く金持ちになれる、といったものを含むサイト。 www.collegehumor.com , www.holytaco.com   Real Estate (不動産) 不動産賃貸、販売、関連する助言や情報に関するサイト。不動産業者、企業、レンタルサービス、不動産情報、リフォーム関連のサイトが含まれる。 www.realtor.com , www.redfin.com , www.prudentialproperties.com   Recreation and Hobbies (レクリエーションと趣味) レクリエーションや趣味に関する情報、フォーラム、団体、グループ、および出版に関するサイト。 www.cross-stitching.com , www.modelplanes.com   Reference and Research (参考と調査) 個人、専門家、学術系のリファレンスポータル、コンテンツ、サービス。オンライン辞書、地図、年間、国勢調査、図書館、系譜、科学情報が含まれる。 公共図書館であれば.govで終わるサイトも含む。 www.wikipedia.org , www.reference.com , www.m-w.com   Religion (宗教) 各種宗教、関連活動やイベントに関する情報。宗教団体、関係者や礼拝場所に関するWebサイトを含む。 占星術、星占い、占いに関するサイトを含む。 www.vatican.va , www.sjkoreancatholic.org , www.biblesociety.ca   Search Engines (サーチエンジン) キーワード、フレーズ、その他パラメータを使用して検索インタフェースを提供するサイト。検索結果として情報、ウェブサイト、画像、ファイルを返す。 www.google.com , www.baidu.com   Sex Education (性教育) ⽣殖、性的発育、安全な性⾏為慣⾏、性病、避妊、より良いセックスに関する情報、関連する製品や道具に関する情報。関係するグループ、フォーラムや組織のためのウェブサイトを含む。 www.plannedparenthood.org , www.sexandahealthieryou.org   Shareware and Freeware (シェアウェアとフリーウェア) 無料または寄付を受け付けるソフトウェア、スクリーンセーバー、アイコン、壁紙、ユーティリティ、着メロ、テーマ、ウィジットへのアクセスを提供するサイト。また、オープンソースプロジェクトが含まれる。 www.download.com , www.sourceforge.net   Shopping (ショッピング) 商品やサービスの購入を促進するサイト。オンライン小売業者、百貨店、小売店、カタログ販売のWebサイト、価格を集約してモニタするサイトも含まれる。 ここに記載されているサイトは、さまざまな商品を販売するオンライン商店、または主な目的がオンラインセールスです。オンライン購入を可能にする化粧品会社のWebページはcosmeticsではなくshoppingに分類される。 食料品店のサイトも含まれる。 ポイントを商品と交換するサイトも含まれる。 www.amazon.com , www.pricegrabber.com , www.lightningdrops.com   Social Networking (ソーシャルネットワーキング) ユーザーが互いにメッセージや写真を投稿したり、人々のグループとコミュニケーションしたりするユーザーコミュニティやサイト。ブログや個人サイトは含まれない。 www.facebook.com , www.twitter.com , www.linkedin.com   Society (社会) 一般住民に関連するトピック、ファッション、美容、慈善団体、社会、または子供など多種多様な人々に影響のある論点に関するサイト。 子供向けに作成されたWebサイトを含む。 薬物依存、性的中毒、ギャンブルなどの相談サービスに特化したWebサイトを含む。 レストラン、UFOに関するサイトを含む。 www.style.com , www.redcross.org   Sports (スポーツ) スポーツイベント、選手、コーチ、関係者、チームや団体、スポーツのスコア、スケジュール、関連ニュース、関連用具に関する情報。ファンタジースポーツや仮想スポーツリーグに関するサイトも含まれる。 ペイントボールや各種武道といったスポーツも含まれる。 www.espn.com , www.nba.com , www.fantasysports.yahoo.com   Stock Advice and Tools (株式情報とツール) 株式市場に関する情報、株式やオプション取引、ポートフォリオ管理、投資戦略、相場、関連ニュースに関する情報。 www.thestreet.com , www.cramers-mad-money.com   Streaming Media (ストリーミングメディア) 無料または有料のストリームオーディオまたはストリームビデオコンテンツサイト。テレビ局のWebサイトはentertainment and artsにカテゴリ化される。 オンラインラジオ局やその他ストリーミング音楽サービスを含む。 www.hulu.com , www.youtube.com , www.pandora.com , www.spotify.com , www.grooveshark.com   Swimsuits and Intimate Apparel (水着と下着) 水着や下着、その他きわどい衣服の情報や画像を含むサイト www.victoriassecret.com , www.brazilianswimwear.com   Training and Tools (トレーニングとツール) オンライン教育とトレーニング、関連資料を提供するサイト。 自動車教習所、職業研修などを含めることができる。学習塾や試験対策は技術的にはtraining and tools となる。 www.directdegree.com , www.trafficschoolonline.com   Translation (翻訳サイト) ユーザー入力やURL翻訳の両方を含む翻訳サービスを提供するサイト。これらサイトは、目的ページのコンテンツが翻訳URLの一部に表示されるものとして、ユーザーにフィルタリング回避させることもできます。 www.translate.google.com , www.microsofttranslator.com , www.babelfish.yahoo.com   Travel (旅行) 旅行の助言、お得な情報、価格情報、旅先情報、観光、関連サービスに関する情報のサイト。ホテル、現地の観光スポット、カジノ、航空会社、クルージング、旅行代理店、レンタカーに関して価格情報や予約ツールを提供するサイトを含む。 エッフェル塔、グランドキャニオン、テーマパーク、動物園、国立公園などの現地観光スポットに関するサイトを含む。タクシー会社を含む。 www.kayak.com , www.farecompare.com , www.jetblue.com   Unknow (不明) まだカテゴライズされていないためにファイアウォールもしくはクラウドのURLデータベースに存在しないWebサイト。     Weapons (武器) 兵器やその使用に関する、販売、批評、説明、取扱のサイト。 www.israeli-weapons.com , www.nunchuckguy.com   Web Advertisements (ウェブ広告) 広告、メディア、コンテンツ、バナーが含まれる。 www.webtraffic2night.com , www.doubleclick.net   Web Hosting (ウェブホスティング) Web開発、出版、販売促進、トラフィックを増やすためのその他方法に関する情報を含む、無料または有料のWebページのホスティングサービス。 www.godaddy.com , www.fatcow.com   Web-based Email (ウェブメール) 電子メールの受信ボックスへのアクセスを与えるか、電子メールを送受信できるWebサイト。 www.hotmail.com , www.mail.google.com      
記事全体を表示
kmiwa ‎11-12-2018 11:03 PM
28,934件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 What are suspicious DNS queries? https://live.paloaltonetworks.com/t5/Threat-Vulnerability-Articles/What-are-suspicious-DNS-queries/ta-p/71454   PAN-OS装置にて、疑わしい(Suspicious)DNSクエリがトリガーした脅威ログを示しています。   Detail of Threat log with Suspicious DNS Query.   疑わしい(Suspicious)DNSクエリのシグネチャとは? 疑わしい(Suspicious)DNSクエリのシグネチャは、潜在的にC2トラフィックに関連するドメインへのDNS名前解決をチェックします。このC2トラフィックはマシンが乗っ取られた兆候の可能性もあります。   疑わしいDNSクエリ・シグネチャは、多層防御を提供するために、キルチェーンの中のあらゆるポイントに保護を適用するPalo Alto Networks のアプローチのひとつです。これにより、攻撃者は攻撃を成功させるために追加の検査ポイントを回避する必要がでてきます。昨今の脅威環境は動的であるため、アンチウイルス、脆弱性エクスプロイトの検出、URLフィルタリングは有効ですが、さらに多くのことが可能です。 それは、潜在的な悪意のある接続先への接続を、名前解決が行われる前に切断することです。   疑わしいDNSシグネチャはアラート設定や、接続をリセットまたはドロップすることによって名前解決をブロックする設定、もしくは製品に備わっているDNSシンクホール機能を利用して被疑対象に接続しないような設定ができます。 パロアルト ネットワークスのベスト プラクティスは、疑わしいDNSクエリの送信元IPを特定できるように、シンクホールに設定することです。   不審なDNSクエリー・シグネチャはどのように機能しますか? どのように提供されますか? 疑わしいDNSクエリー・シグネチャ(以降、SDNSシグネチャ)は、シグネチャが存在するドメインへの名前ルックアップを検査するPAN-OSアプライアンスを通過するDNSトラフィックを元に動作します。 パケットのキャプチャがSDNSシグニチャで有効化されている場合、その中には単順に特定のドメインへのDNSクエリーが含まれます。     SDNSシグネチャは、パロアルト ネットワーク ス  バックエンドのインテリジェンス情報収集の結果です。 WildFireサンドボックスにて検体を走らせた際の結果、外部インテリジェンス フィード、および研究者からの分析、などがその例です。   作成されたシグニチャは、次の2つの方法でPAN-OS機器に送られます。   WildFireコンテンツ、脅威ID 3,800,000  - 3,999,999 。 デバイスのWildFireコンテンツ アップデート スケジュールの更新頻度の設定、およびシグネチャがまだ有効かどうかに応じて、15分ごとに更新することも可能です。 これらのシグネチャは、次のフォーマットで脅威ログに表示されます。Malwarefamilyname:domain(例: None:google[.]com)シグネチャを生成するために使用されたサンプルにファミリーネームが関連付けられていない場合は、「None」が代わりに使用されます。   アンチウイルス コンテンツ、 脅威ID  4,000,000  - 4,199,999 。 アンチウイルス  コンテンツは、通常、およそ午前7時(EST)に、24時間に1度リリースされます。これらのシグネチャは、次の形式で脅威ログに表示されます。 Suspicious DNS Query:  Malwarefamilyname:domain(例:Suspicious DNS Query: None:google[.]com)シグネチャを生成するために 使用されたサンプルにファミリーネームが関連付けられていない場合は、 「None」が代わりに使用されます。 シグネチャは、コンテンツの「スパイウェア」部分に表示されます。 シグネチャ の脅威ID番号によって識別できるものの詳細については、 このリンク(英文)を参照ください。 (※ 訳注:前述した脅威IDの範囲についても、最新情報はこのリンク先の記事を参照してください。)      以前に検知されたSDNS クエリー シグネチャは、脅威モニターで名前が変更されていることに気が付いているかもしれません。なぜ起こったのか疑問に思うかもしれません。   現在のSDNSシグネチャの実装について、コンテンツの場合は一般的に、現在のコンテンツ内で各脅威にはIDが割り当てられています。割り当てられるコンテンツ スペースは無限でないため、とある時点において、SDNSコンテンツ スペースで最もアクティブで危険な脅威を保つことが優先事項です。脅威の状況が急速に変化するため、シグネチャは置き換えられることがあります。   脅威モニターUIの現在の実装では、現在ファイアウォールにインストールされているコンテンツ データベースから直接「名前」フィールドが照会されます。これが意味することは、一旦脅威モニターがロードされると、あるドメインで読み取られた以前のシグネチャトリガーが、現在のシグネチャに関連されたものに置き換わって表示されるようになることです。   例: WildFireコンテンツ1では、Google[.]comがSDNS脅威ID 3,800,000に割当てられています。 この脅威が検知されると、 脅威ID  3,800,000 Google[.]com が脅威ログに記録されます。 WildFireコンテンツ2がインストールされます。 WildFireコンテンツ2では、Bing[.]comがGoogle[.]comに代わってSDNS 脅威ID  3,800,000が割当てられています。 以前、脅威ログに記録されていたものは、Bing[.]comとして誤って表示されます。   今のところ、最も単純な回避策は、DNSトラフィックが通過しているセキュリティ ルールに割り当てられたアンチスパイウェア プロファイルを開いて、SDNSシグネチャでパケット キャプチャ採取を有効にすることです。 パケット キャプチャは静的なデータであり、変更されません。     DNSシグネチャが変更される理由については この記事 を参照ください。   不審なDNSクエリー・シグネチャの発生を検知したらどうすべきですか? SDNSシグネチャ トリガーは、必ずしもスパイウェア感染を指し示すものではありませんが、他のインジケーターと共に使用して、危険にさらされている可能性のあるホストを特定するのに利用できます。ホストは、悪意のある行為であると言い切れない外向けネットワーク接続パターンを表示している可能性があります。   ホストがSDNSシグネチャが存在するドメインへのトラフィックを生成すると、プロアクティブなセキュリティ アナリストは、ネットワーク上のトラフィックを特定して検査やその他のアクションを保証するのに役立ちます。 もしホスト・トリガーにてSDNSシグネチャが検知されたのと同時に、AV検出、脆弱性シグネチャー検出、またはマルウェアとして分類されたURLのWeb閲覧などが見受けられた場合は、SDNSシグネチャを使用したことにより、そのホストに対してさらなるアクションが必要であることに確信が持てます。   AutoFocusのご使用の場合は、WildFireサンプルやその他の公開サンプルを調べ、マルウェアの判定を受けかつ特定のドメインに到達したサンプルを検索することができます。これにより、アナリストは、インシデント レスポンス アクションに備えるために、シグネチャが存在する理由と、疑わしいドメインへのトラフィックを生成したサンプルの動作を理解するのに役立ちます。 AutoFocus showing a query on a suspicious DNS domain. そのシグネチャーをさらに調べるために、サードパーティーからのオープンソースの情報源は、セキュリティ コミュニティがどのような種類のインテリジェンスを、そのドメインに対して持っているかを調べるのに、とても良い方法です。   いくつかのサードパーティーを利用した調査サンプル例: VirusTotal URLスキャンを使用して、他のベンダーの検査結果を確認します。 PassiveTotalを使用して、ドメインのパッシブDNS履歴を確認します。 WHOISを活用して、ドメインの所有者、登録日時、その他のデータの詳細を確認します。   アラートが調査するに値すると決まったら、ホスト上のパケットキャプチャによって、ユーザのアクティビティや疑わしいトラフィックなどのコンテキストデータを参照することは、さらなるアクションが必要かどうかの追加設定の助けとなります。   上記のすべてを行っても、特定のSDNSシグネチャが大量のアラートを生成していて、かつ、あなたが確認する限りそのドメインに対してネガティブな活動が見受けられない場合はどうしたらいいでしょうか?   この場合、Palo Alto Networksのサポートは、シグネチャが無効にすべき候補であるかどうかを特定する手助けをいたします。多くのお客様にシグネチャが重大なノイズを生成しているように見える場合は、脅威ログの調査に時間を浪費しないようにして欲しいと思います。 ただし、そのシグネチャに対し確証がある場合は、スパイウェア プロファイルの例外機能を活用して、トラフィックを許可してアラートを停止することができます。   不審なDNSクエリー・シグネチャのサンプル例:   SHA256の”932836effd33218470e1c78dad3505d59af31ecff599e875ed79f47114552883”をサンプル例としてみてみましょう。   このサンプルはPEファイルで、一旦実行すると、いくつかの不審なC2 HTTPトラフィックを作り出します。     結果、該当ドメインへのトラフィックを止めるためのC2ドメイン・シグネチャが生成されました。  
記事全体を表示
kkondo ‎08-14-2018 07:02 AM
5,281件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 URL Filtering Test Pages https://live.paloaltonetworks.com/t5/Management-Articles/URL-Filtering-Test-Pages/ta-p/198276 多くの管理者は「URL フィルタリング サービスが有害なURLや無害なURLに対して組織のポリシーを適切に実施できているかをどのようにテストすればよいか?」という疑問を持っています。 無害なカテゴリの場合、これは比較的簡単です。ウェブサイトにアクセスし、設計通りのポリシーやアクションが実行さているかログを確認するだけです。 これはWeb メール、スポーツ、ショッピングなどの無害なカテゴリでうまく機能します。一般的にアダルトサイトなど、職場でアクセスするのに相応しくないグレイ エリアのカテゴリの場合は少々難しくなります。更にマルウェアサイトなど明らかに有害なサイトに対してアクセスしたくないのは明白です。   我々は全てのカテゴリをテストするためのテスト URLを用意しています。これらのテスト URLは完全に無害ですが、URL フィルタリングのテストを目的としそれぞれのカテゴリに分類されています。   例えば、command-and-controlのテスト URLにアクセスする場合を説明します。ポリシーでcommand-and-controlと識別されるURLに対してcontinueが設定されている場合は、http://urlfiltering.paloaltonetworks.com/test-command-and-control にアクセスすると、continueのブロック ページが表示されます。     social-networkingなどの無害なカテゴリでは、ポリシーでこのカテゴリがalertに設定されている(アクセスは許可されている)場合、https://urlfiltering.paloaltonetworks.com/test-social-networking にアクセスすると次の結果が表示されます。   この情報もログに記録されるので、ログを参照することでどのようにカテゴリ判定されているか確認することができます。   有害なカテゴリのテスト ページの一覧は次のとおりです: http://urlfiltering.paloaltonetworks.com/test-malware http://urlfiltering.paloaltonetworks.com/test-phishing http://urlfiltering.paloaltonetworks.com/test-command-and-control   無害なカテゴリのテスト ページの一覧は次のとおりです: http://urlfiltering.paloaltonetworks.com/test-abortion http://urlfiltering.paloaltonetworks.com/test-abused-drugs http://urlfiltering.paloaltonetworks.com/test-adult http://urlfiltering.paloaltonetworks.com/test-alcohol-and-tobacco http://urlfiltering.paloaltonetworks.com/test-auctions http://urlfiltering.paloaltonetworks.com/test-business-and-economy http://urlfiltering.paloaltonetworks.com/test-computer-and-internet-info http://urlfiltering.paloaltonetworks.com/test-content-delivery-networks http://urlfiltering.paloaltonetworks.com/test-copyright-infringement http://urlfiltering.paloaltonetworks.com/test-dating http://urlfiltering.paloaltonetworks.com/test-dynamic-dns http://urlfiltering.paloaltonetworks.com/test-educational-institutions http://urlfiltering.paloaltonetworks.com/test-entertainment-and-arts http://urlfiltering.paloaltonetworks.com/test-extremism http://urlfiltering.paloaltonetworks.com/test-financial-services http://urlfiltering.paloaltonetworks.com/test-gambling http://urlfiltering.paloaltonetworks.com/test-games http://urlfiltering.paloaltonetworks.com/test-government http://urlfiltering.paloaltonetworks.com/test-hacking http://urlfiltering.paloaltonetworks.com/test-health-and-medicine http://urlfiltering.paloaltonetworks.com/test-home-and-garden http://urlfiltering.paloaltonetworks.com/test-hunting-and-fishing http://urlfiltering.paloaltonetworks.com/test-insufficient-content http://urlfiltering.paloaltonetworks.com/test-internet-communications-and-telephony http://urlfiltering.paloaltonetworks.com/test-internet-portals http://urlfiltering.paloaltonetworks.com/test-job-search http://urlfiltering.paloaltonetworks.com/test-legal http://urlfiltering.paloaltonetworks.com/test-military http://urlfiltering.paloaltonetworks.com/test-motor-vehicles http://urlfiltering.paloaltonetworks.com/test-music http://urlfiltering.paloaltonetworks.com/test-news http://urlfiltering.paloaltonetworks.com/test-nudity http://urlfiltering.paloaltonetworks.com/test-online-storage-and-backup http://urlfiltering.paloaltonetworks.com/test-parked http://urlfiltering.paloaltonetworks.com/test-peer-to-peer http://urlfiltering.paloaltonetworks.com/test-personal-sites-and-blogs http://urlfiltering.paloaltonetworks.com/test-philosophy-and-political-advocacy http://urlfiltering.paloaltonetworks.com/test-private-ip-addresses http://urlfiltering.paloaltonetworks.com/test-proxy-avoidance-and-anonymizers http://urlfiltering.paloaltonetworks.com/test-questionable http://urlfiltering.paloaltonetworks.com/test-real-estate http://urlfiltering.paloaltonetworks.com/test-recreation-and-hobbies http://urlfiltering.paloaltonetworks.com/test-reference-and-research http://urlfiltering.paloaltonetworks.com/test-religion http://urlfiltering.paloaltonetworks.com/test-search-engines http://urlfiltering.paloaltonetworks.com/test-sex-education http://urlfiltering.paloaltonetworks.com/test-shareware-and-freeware http://urlfiltering.paloaltonetworks.com/test-shopping http://urlfiltering.paloaltonetworks.com/test-social-networking http://urlfiltering.paloaltonetworks.com/test-society http://urlfiltering.paloaltonetworks.com/test-sports http://urlfiltering.paloaltonetworks.com/test-stock-advice-and-tools http://urlfiltering.paloaltonetworks.com/test-streaming-media http://urlfiltering.paloaltonetworks.com/test-swimsuits-and-intimate-apparel http://urlfiltering.paloaltonetworks.com/test-training-and-tools http://urlfiltering.paloaltonetworks.com/test-translation http://urlfiltering.paloaltonetworks.com/test-travel http://urlfiltering.paloaltonetworks.com/test-unknown http://urlfiltering.paloaltonetworks.com/test-weapons http://urlfiltering.paloaltonetworks.com/test-web-advertisements http://urlfiltering.paloaltonetworks.com/test-web-hosting http://urlfiltering.paloaltonetworks.com/test-web-based-email
記事全体を表示
tsakurai ‎06-26-2018 06:18 PM
5,201件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 What Will Cause a URL to be Categorized as 'private-ip-address'? https://live.paloaltonetworks.com/t5/Management-Articles/What-Will-Cause-a-URL-to-be-Categorized-as-private-ip-address/ta-p/52194   カテゴリ 'private-ip-address' は、RFC 1918で定義されている以下のIPアドレスに使用されます: 10.0.0.0 - 10.255.255.255 (10/8 prefix) 172.16.0.0 - 172.31.255.255 (172.16/12 prefix) 192.168.0.0 - 192.168.255.255 (192.168/16 prefix) 169.254.0.0 - 169.254.255.255 (169.254/16 prefix)   'private-ip-address' カテゴリは、'.local' のように公的に登録されていないトップレベルドメインにも使用されます。 これには、トップレベルドメインを含まない短い名前を使用するURLも含まれます。 以下を参照してください:   著者: jteetsel  
記事全体を表示
tsakurai ‎04-28-2018 07:33 PM
3,030件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 PAN-OS 7.1 URL Filtering - Dynamic Block List - External Block List EDL https://live.paloaltonetworks.com/t5/Tutorials/PAN-OS-7-1-URL-Filtering-Dynamic-Block-List-External-Block-List/ta-p/74098     以前のバージョンの PAN-OSでは、ファイアウォール管理者は、ダイナミック ブロック リスト (EDL - 外部ダイナミック リスト) または、外部ブロック リスト (EBL) 機能を用い、IPアドレスを含む外部のファイルを参照することで、IPサブネットやIPアドレスの範囲をブロックすることが可能でした。 PAN-OS 7.1 より、リストで使用できるタイプにURLが追加され、より簡単にブロック制御ができるようになりました。     要件 各URLリストはカテゴリとして使われます。URLリストの名前がカテゴリ名となります。 これらのカテゴリはURLフィルタリング プロファイルとセキュリティ ルールで使用できます。 更新の間隔は、5分、毎時、毎日、毎週、月次のいずれかで設定できます。 5分を更新間隔に設定した場合、リストに変更があった場合のみコミットが実行されます。また、それは1時間に1回となります。 もしリストが外部のサイトで更新されたにも関わらずファイアウォール上で反映されていないのであれば、設定監査にてcandidate configのチェックをし、新しい項目がリストから引っ張られているかどうか確認してください。 URLリストはHTTPSサイトに置くことも可能です。その際、次のすべてがチェックされます。(CA、CN/SAN、有効期限、OCSP & CRL) ハードウェア スペック PA-200, PA-500, PA-2000, PA-3000, PA-4000, PA-VM プラットフォーム 30リスト (IP + DNS + URL) 合計50,000 IP。個々のリストに制限なし。 DNS + URLを合わせて50,000まで。リスト単位では制限なし。 PA-5000 & PA-7000 シリーズ 30リスト (IP + DNS + URL) 合計150,000 IP。個々のリストに制限なし。 DNS + URLを合わせて50,000まで。リスト単位では制限なし。 (訳注: 値が変更になっている可能性もあるので、念のため別の資料でも確認してください。    https://www.paloaltonetworks.com/products/product-selection.html)   注: もし最大数の 50,000 以上のURLが使われた場合、ファイアウォールは先頭から 50,000までの項目 を使用し、残りの項目は使用しません。これが起きた際は、システム ログにログが生成されます。       設定 ステップ 1. 新しく外部リストを作成するには、Objects > 外部ダイナミック リスト > 追加、をクリックします。以下の例では、'Bad Mojo' という名前を付けました。外部ファイルの参照先には "http://www.example.com/url-list.txt" を指定しています。繰り返し間隔は、5分です。   ステップ 2. 新しくURL フィルタリング プロファイルを作成するには、Objects > セキュリティ プロファイル > URL フィルタリング > 追加、をクリックします。新しく作ったリストは、下の方にスクロールすると見つかります。 注: 新しいプロファイルでは、作成したEDLに対するアクションがデフォルトで 'allow' になるので注意してください。   ステップ 3. 既存のURLフィルタリング プロファイルを編集する場合は、Objects > セキュリティ プロファイル > URL フィルタリング、にてプロファイル名をクリックします。 注: 管理者が変更するまでアクションは 'none' になっています。これはカスタムURLカテゴリと同様です。   ステップ 4. セキュリティ ポリシー (Policies > セキュリティ)にて、編集したいルールの名前をクリックすると、サービス/URL カテゴリのところで、上記で作成した "Bad Mojo" が外部ダイナミック リストの下に見つかります。   Step 5. このリストを有効にするために、コミットをします。   リスト フォーマットの要件 リストはプレーンテキストである必要があります。 (HTML、PDFなどは使用できません) スキームはオプションです。もし見つかれば、読み飛ばされます。 http:// 部分は不要です。 ワイルドカード (*) はサポートされます。 *.example.com/hacked/* www.example.net/wp-*/debug/ 1行の最大長は 1024 文字です。 ダブルバイト文字は未サポートです。 ドメインを指定する場合は、以下のように両方のフォーマットを使用してください。(カスタム URL カテゴリと同様です): example.com *.example.com   CLI の変更点 (ダイナミック ブロック リストの作成) マルチ-vsys 環境: > set shared/<vsys vsys> external-list <tab> {displays a list of current added lists } <name>   > set shared/<vsys vsys1> external-list <name> + description description + url         url + type        type > recurring   recurring <Enter> Finish input   > set shared/<vsys vsys1> external-list <name> type <tab> + domain Domain List + ip IP List + url URL List   シングル-vsys 環境: > set external-list <tab> -list of current added lists <name>   > set external-list <name> + description description + url       url + type      type > recurring recurring <Enter> Finish input   > set external-list <name> type <tab> + domain Domain List + ip IP List + url URL List   Panorama: > set shared/<device-group dg name> external-list <tab> {displays a list of current added lists} <name>   > set shared/device-group dg name> external-list <name> + description description + url       url + type      type + recurring recurring <Enter> Finish input   > set shared/device-group dg name> external-list <name> type <tab> + domain Domain List + ip IP List + url URL List CLI の変更点 (refresh & show コマンド) > request system external-list show type + domain Domain list type + ip    IP list type + url   URL list type   > request system external-list show type url name <tab> + edl-url1  edl-url1 + edl-url2  edl-url2 + <name>    <name>   > request system external-list show type url name edl-url1 {displays list of URL entries}   > request system external-list refresh type + domain Domain list type + ip   IP list type + url  URL list type   > request system external-list refresh type url name <tab> + edl-url1 edl-url1 + edl-url2 edl-url2 + <name>   <name>   > request system external-list refresh type url name edl-url1   Panorama 7.1より前のバージョンのファイアウォールを管理する場合、'IP' タイプの外部ブロック リストのみが使用できます。 7.0以前の PAN-OSバージョンにコンフィグをプッシュする際、'url' タイプのオブジェクトは取り除かれます。 ポリシーがURLリスト タイプを参照している場合、コミットは失敗します。   参照 PAN-OS 7.1 Resource List(英文)    
記事全体を表示
ymiyashita ‎04-25-2018 05:52 PM
6,661件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to View the Installed and Latest Versions of PAN-DB https://live.paloaltonetworks.com/t5/Management-Articles/How-to-View-the-Installed-and-Latest-Versions-of-PAN-DB/ta-p/61912     概要 BrightCloudの利用時はweb UIの   Device > ダイナミック更新 > URLフィルタリング  にてバージョンを確認することができます。しかしPAN-DBの更新では異なります。この文書はPalo Alto NetworksファイアウォールにインストールされているPAN-DBバージョンと、ダウンロードできる最新の利用可能なバージョンの確認方法を記載します。     詳細 show system info コマンドは、ファイアウォールにインストールされているPAN-DBのバージョンを表示するのみです。   > show system info    ..... url-filtering-version: 2013.06.10.107    .....   ファイアウォールにインストールされたバージョンだけでなくクラウドで利用可能なバージョンは   show url-cloud status   コマンドを使うことで確認できます。   例: > show url-cloud status PAN-DB URL Filtering License : valid Current cloud server : s0200 Cloud connection : connected URL database version -   device   : 2013.06.10.107 URL database version -   cloud   : 2013.06.10.107 ( last update time 2013/06/11 15:54:22 ) URL database status : good URL protocol version - device : pan/0.0.2   PAN-DBは日次の更新はなく、代わりに必要に応じてURLのエントリーが取得されます。Palo Alto Networksファイアウォールは更新を自動でチェックし、8時間おきに最新のURLフィルタリングデータベースがダウンロードされたかを示すシステムログが生成されます(訳注:2018/02/28現在、PAN-OS 7.1.15環境で15分おきにチェック、ログ生成が行われています)。   参照 How to Install and Activate PAN-DB for URL Filtering   著者: kprakash
記事全体を表示
TShimizu ‎02-27-2018 07:47 PM
5,457件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Command-and-Control (C2) FAQ https://live.paloaltonetworks.com/t5/Management-Articles/Command-and-Control-C2-FAQ/ta-p/178617   概要 URL Filteringに新しいカテゴリが追加されました。新カテゴリは“command-and-control”となります。   注意:管理者はcommand-and-controlカテゴリに対してBLOCKに設定する必要があります。 下記は、command-and-controlカテゴリに関してのFAQとなります。   これまで、C2サイトに関わるアクセスはどのように保護されていたのでしょうか?   これまで、C2サイトに関わるアクセスは、"malware"カテゴリとして分類され保護されていました。   "malware"カテゴリと"command-and-control"カテゴリの違いはどういったものでしょうか?ユーザーは注意する必要があるのでしょうか。   Palo Alto Networkは、"malware"カテゴリに属する既知のサイトを、"command-and-control"カテゴリとして分類致しました。   マルウェア(悪意のあるコンテンツや実行ファイル、スクリプト、ウィルス、コード等)は、一般的にインターネットへのユーザーアクセスにより配布されます。こういった悪意のあるアクセスについては、"malware"カテゴリとして、firewallによりBLOCKされます。   C2サイトへのアクセスは、感染したエンドポイントが、外部のC2サーバに接続を試みることで発生し、こういった悪意のある接続については、"command-and-control"カテゴリとして、firewallによりBLOCKされます。   一般にセキュリティアナリストは、インシデント調査の中で、これら2つの悪意のある接続を、まったく異なるものとして区別しており、そのため、"command-and-control"カテゴリを追加致しました。 セキュリティアナリストは、Palo Alto Networks Firewallが "malware"カテゴリにより、マルウェア(悪意のあるコンテンツや実行ファイル、スクリプト、ウィルス、コード等)の配布に関わる接続をBLOCK している事により、ネットワーク内のエンドポイントが感染してないことを把握できます。さらに、"command-and-control"カテゴリにより、特定のエンドポイントが外部のC2サーバに接続しようとしていることをBLOCKしていることにより、そのエンドポイントがマルウェアに感染している可能性があり、対応が必要なことを把握できます。 "command-and-control"カテゴリをBLOCKとしていない場合、どういったことが起きますか?   "command-and-control"カテゴリをBLOCKとしていない場合は、ネットワーク内のマルウェアに感染したエンドポイントから発生する外部 のC2サーバへの接続がBLOCKされません。   "command-and-control"カテゴリは、デフォルトでBLOCKとされていないのはなぜですか?   PAN-OS 8.0.2以降のPANOSでは、 Content Update 738以降のバージョンをインストールしている場合、 自動的に "command-and-control"カテゴリは、デフォルトでBLOCKとされます。 それ以前のPANOSは、自動更新に対応していないため、"command-and-control"カテゴリは、デフォルトでALLOWとなります。こちらの詳細については、以下のKBをご参照ください。 https://live.paloaltonetworks.com/t5/%E3%83%8A%E3%83%AC%E3%83%83%E3%82%B8%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/Content-Version-734-%E3%82%88%E3%82%8A%E8%BF%BD%E5%8A%A0%E3%81%95%E3%82%8C%E3%81%9FPAN-DB-URL-%E3%82%AB%E3%83%86%E3%82%B4%E3%83%AA-Command-and-Control/ta-p/177744     "command-and-control"カテゴリは、どのように定義されたカテゴリですか?   "command-and-control"カテゴリは、マルウェアにより、ユーザーから搾取した情報(プライバシー情報や、機密情報など)や悪意のあるコマンドの送受信を行うことに利用されている外部サーバのドメインやURLを分類したものです。   "command-and-control"カテゴリのリリース時期は?   "command-and-control"カテゴリは、Content Version 734以降のContent Updateでリリースされています。管理者権限にて管理GUIから確認、ならびに変更が可能です。実際の"command-and-control"カテゴリの運用が開始されるまでの間に、"command-and-control"カテゴリのデフォルトアクションをBLOCKに変更ください。"command-and-control"カテゴリのデフォルトアクションをBLOCKに変更していただくことで、"command-and-control"カテゴリが運用開始になったタイミングで、すべての"command-and-control"カテゴリに分類されているURLやドメインへの接続がBLOCKされることになります。 "command-and-control"カテゴリが運用開始時期は?   運用開始は、US時間の2017年10月25日を予定しています。日本時間では、 2017年10月26日のおおよそ AM4:00となる見込みです。   "command-and-control"が動作しているか確認する方法について   こちらのURLにアクセスいただき、ご利用のFirewallでブロックされ、それがログに残れば、ご利用のFirewallで正しく構成されていることをご確認いただけます。 https://urlfiltering.paloaltonetworks.com/test-command-and-control     今回の変更は、PAN-DBやBrightcloudに対して適用されるものですか?     いいえ、今回の変更は、PAN-DBに対して適用されるもので、BrightCloudに対しては適用されません。   本FAQについては、"command-and-control"カテゴリが運用開始となった時点でアップデート致します。     こちらについても併せてご参照ください。 Command-and-Control カテゴリの確認方法
記事全体を表示
kkawachi ‎10-24-2017 06:02 PM
5,822件の閲覧回数
0 Replies
PAN-DBはWildFireによって継続的に更新されているため、悪意のある高リスクで不要なWebサイトからの保護が常に提供されます。
記事全体を表示
tkobayashi ‎07-06-2017 07:31 PM
9,801件の閲覧回数
0 Replies
1 Like
※この記事は以下の記事の日本語訳です。 Resolving the URL Category in Decryption When Multiple URLs Use the Same IP https://live.paloaltonetworks.com/t5/Management-Articles/Resolving-the-URL-Category-in-Decryption-When-Multiple-URLs-Use/ta-p/62573   PAN-OS 6.0 問題 Google のように同一 IP アドレスに紐付く複数の Web サービス (Google ドライブ、翻訳、ウェブ検索、Google+、マップ、Google Play、Gmail、カレンダーなど) がある場合に問題が発生します。   DNS が www.google.com と www.drive.google.com の両方を同じ IP アドレス(例:173.194.78.189)に解決する場合、ホストは google.com と drive.google.com の両方で同じ IP アドレスを使用します。そのため、最初のセッションで処理されるトラフィックが www.google.com の場合、ローカル キャッシュは IP アドレス 173.194.78.189 を "search-engines" にマッピングします。その後、次のホストが同じ宛先 IP アドレスを使用して www.drive.google.com にアクセスした場合、URL カテゴリは "online-personal-storage" ではなく "search-engines" にマッピングされます。 "online-personal-storage" のカテゴリを復号化するように設定された復号化ポリシーは、"search-engines" にマッピングされたトラフィックにマッチしないので、drive.google.com へアクセスした際のトラフィックは復号化されません。   詳細 SSL 復号化に関する問題のトラブルシューティングの際には、まず初めに復号化メカニズムが URL  カテゴリとどのように機能するかを理解することが肝心です。セキュアな SSL トンネルを確立するために、クライアントとサーバーは SSL ハンドシェイクを実施し、クライアントは通常、サーバ証明書に基づいてサーバーを認証します。HTTPS 接続は常にクライアントによって開始され、最初にサーバー URL を名前解決した後、名前解決した IP アドレス宛に Client Hello メッセージを送信します。クライアントはサーバー側からサーバー証明書を含む応答を待ちます。   適切な URL カテゴリに解決した上で、SSL トラフィックを復号化するかどうかを決定するために、Palo Alto Networks ファイアウォールはサーバーから受信した証明書のコモン ネーム (CN) フィールドを使用します。そのため、URL のカテゴリ識別はサーバー証明書の CN フィールドに基づいて行われます。解決された URL カテゴリはクライアント側から送信されたパケットの宛先 IP アドレスにマッピングされます。URL カテゴリを識別する処理を高速化するために、ファイアウォールはローカル キャッシュ メモリに各 URL と宛先 IP アドレスのマッピング情報を格納します。したがって、次に同じ宛先 IP アドレスへの SSL トラフィックが発生した際は、既にローカル キャッシュ ファイルに格納されている URL カテゴリで解決されます。復号化のための URL カテゴリのメカニズムは次のようになります: ファイアウォールによって Client Hello メッセージがインターセプトされます ファイアウォールはパケットの宛先 IP を決定します ファイアウォールは宛先 IP とローカル キャッシュ メモリに保存されている IP, URL カテゴリのマッピングリストを比較します リストに同じ IP が存在した場合、URL カテゴリはローカル キャッシュ メモリのリストで識別されます ローカル キャッシュのリストに同じ IP が存在しなかった場合、ファイアウォールはサーバー証明書の CN フィールドを確認するために、サーバーからの応答を待ちます URL カテゴリ識別が CN フィールドに基づいて行われ、サーバーの IP と URL カテゴリがマッピングされるとともに、次回以降に利用するためにローカル キャッシュ メモリのリストに追加されます   解決方法 PAN-OS 6.0 以降では SSL 復号化の適正化を目的として URL のカテゴリ識別の新しい方法を導入しました。この新しい方法はサーバー証明書の CN フィールドに基づくのではなく、SSL Client Hello メッセージの SNI (Server Name Indication) 値に基づきます。この方法を使用すると各状況下で Palo Alto Networks のファイアウォールがアップ ストリーム トラフィックの URL カテゴリを適切に識別し、その情報を基に正しい復号化ポリシーを適用することができます。     注意: Windows XP の最終バージョンである IE 8.0 のような古いバージョンのブラウザでは SNI フィールドはサポートされていません。そのため、SNI を用いたこの解決方法は Windows XP や古いバージョンのブラウザを使用しているクライアントでは機能せず、引き続き CN フィールドを用いて識別されます。   著者: djoksimovic  
記事全体を表示
tsakurai ‎03-08-2017 08:02 PM
5,130件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 URL Filtering Order https://live.paloaltonetworks.com/t5/Management-Articles/URL-Filtering-Order/ta-p/59334   問題 URL Filtering プロファイルの中で URL が複数の箇所(複数のカスタム URL フィルタリング カテゴリや、許可/ブロック リスト)にマッチした場合、どうなりますか?   解答 その場合、下記の中で一番厳しいアクションが設定されたカテゴリが選択されます(block が最も厳しく、allow が最も軽い)。 block override continue alert allow   例えば、*.yahoo.com が同じ URL Filtering プロファイル内の MyAlertList と MyBlockList というカスタム カテゴリに同時に存在する場合、www.yahoo.com という URL に対するアクションは block となり、そのカテゴリは MyBlockList となります。これは、許可リストとブロック リストに同時にマッチする URL があった場合、許可リストより先にブロック リストがチェックされるのと同様です。 URL Filtering のプライオリティは以下の通りです。 ブロック リスト 許可リスト カスタム カテゴリ キャッシュ 事前定義済みのカテゴリ   著者:  ukhapre
記事全体を表示
hfukasawa ‎02-13-2017 12:55 AM
7,670件の閲覧回数
0 Replies
セキュリティプラットフォームによる多層防御のアプローチと、 次世代ファイアウォールの各機能について ご紹介致します。
記事全体を表示
ykato ‎09-16-2016 01:15 AM
14,118件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 BrightCloud to PAN-DB Category Mapping https://live.paloaltonetworks.com/t5/Migration-Articles/BrightCloud-to-PAN-DB-Category-Mapping/ta-p/57350   下記の表は、BrightCloud URLのカテゴリとPAN-DB URLのカテゴリの相関関係を表しています。PAN-DBライセンスを有効にする過程の中で、既存のURLフィルタリングのプロファイルが見つかった場合、下記の対応表を基に、PAN-OSは自動的にそれらのプロファイルを新しいPAN-DBのカテゴリに紐付けます。N:1での紐付けを行う場合には、新しいPAN-DBカテゴリに対しては、もっとも厳格なアクションが使用されます。   どのような変更を行う場合であっても、事前に設定を保存しておくのを常に忘れないようにしてください。また、移行後は、URLプロファイルが正しいことをダブルチェックするようにしてください。   PAN-DBのカテゴリ一覧とその説明は、こちらをご覧ください: urlfiltering.paloaltonetworks.com/CategoryList.aspx   BrightCloud カテゴリ PAN-DB カテゴリ Abortion Abortion Abused Drugs Abused Drugs Adult and Pornography Adult Alcohol and Tobacco Alcohol and Tobacco Auctions Auctions Bot Nets Malware Business and Economy Business and Economy Cheating Questionable Computer and Internet Info Computer and Internet Info Computer and Internet Security Computer and Internet Info Confirmed SPAM Sources Malware Content Delivery Networks Content Delivery Networks Cult and Occult Religion Dating Dating Dead Sites N/A Dynamically Generated Content N/A (no mapping as URL will be categorized based on the content) Educational Institutions Educational Institutions Entertainment and Arts Entertainment and Arts Fashion and Beauty Society Financial Services Financial Services Games Games Government Government Gross Questionable Hacking Hacking Hate and Racism Questionable Health and Medicine Health and Medicine Home and Garden Home and Garden Hunting and Fishing Hunting and Fishing Illegal Questionable Image and Video Search Search Engines Individual Stock Advice and Tools Stock advice and tools Internet Communications Internet Communications and Telephony Internet Portals Internet Portals Job Search Job Search Keyloggers and Monitoring Malware Kids Society Legal Legal Local Information Travel Malware Sites Malware Marijuana Abused Drugs Military Military Motor Vehicles Motor Vehicles News and Media News not-resolved Not-resolved Nudity Nudity Online-gambling Gambling Online Greeting cards Entertainment and Arts Online - music Music Online - personal-storage Online storage and backup Open HTTP Proxies Proxy Avoidance and Anonymizers Parked Domains Parked Pay to Surf Web Advertisements Peer to Peer Peer-to-peer Personal sites and Blogs Personal sites and blogs Philosophy and Political Advocacy Philosophy and Political Advocacy Phishing and Other Frauds Phishing Private IP Addresses Private IP Addresses Proxy Avoidance and Anonymizers Proxy Avoidance and Anonymizers Questionable Questionable Real Estate Real Estate Recreation and Hobbies Recreation and Hobbies Reference and Research Reference and Research Religion Religion Search Engines Search Engines Sex Education Sex Education Shareware and Freeware Shareware and Freware Shopping Shopping Social Networking Social Networking Society Society SPAM URLs Malware Sports Sports Spyware and Adware Malware Streaming Media Streaming Media Swimsuits & Intimate Apparel Swimsuits and Intimate Apparel Training and Tools Training and Tools Translation Translation Travel Travel Unconfirmed SPAM Sources Malware Unknown Unknown Violence Questionable Weapons Weapons Web Advertisements Web Advertisements Web based email Web-based Email Web Hosting Web Hosting    著者:dyang
記事全体を表示
hshirai ‎07-27-2016 07:48 PM
11,642件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Threat landscape: Why DNS Signatures and URL categorizations for malware change https://live.paloaltonetworks.com/t5/Threat-Articles/Threat-landscape-Why-DNS-Signatures-and-URL-categorizations-for/ta-p/71052     問題 - "Suspicious DNS signature" (WildFire: 3,800,000 - 3,999,999, AV: 4,000,000 - 4,199,999) の内容が以前と異なる。 - 悪意のあるサイトがMalwareとして分類されていない、あるいは、以前はMalwareと分類されていたけれども現在は別カテゴリに分類されている。     解説 脅威は日々、変化と進化を遂げています。現在、エクスプロイト キットの作成者はセキュリティをかいくぐるための複雑なメカニズムを熟知しています。最近の事例に関しては、このリンクを参照してください。悪意のあるサイトは、サイトに訪れるユーザーに対してエクスプロイトやマルウェアを隠すように巧みにフィルターすることができます。それには、ロケーション、ブラウザの動作、クッキーの値、過去の訪問履歴、訪問した時間など、様々な要素が用いられます。   サイトが常に悪意のある行いをし、訪問する全てのユーザに対して影響を与えるようでなければ、そのサイトを運行している全てのドメインをMalwareと定義することは理想的ではありません。なぜならば、そうすることによって正規のコンテンツやサービスまでブロックされる恐れがあるためです。   DNSシグネチャは利用できるアクティブなデータを元に、短い期間で変更されていきます。WildFireのコンテンツは15分おきに更新されるため、DNSの分類も最短で15分で更新されます。ただし、この更新周期はデバイス上でのWildFireコンテンツの更新スケジュールの設定に依存します。   ブロックと防御へのアプローチは、攻撃者が利用するテクニックにマッチするために順応でなければなりません。柔軟、かつ正確に検知を行い、正規のトラフィックをブロックしないようにすることが最もな理想です。実際に悪意のあるコンテンツの配信を検知することは、評判をベースにしたブラックリストに比べれば(サイトの分類判断基準として)より正確です。   最近の脅威に常に対応できるように、我々のシグネチャは絶えず更新され続けます。仮に、現在アクティブとなっている脅威をベースとしてテスト/更新/削除がなされなければ、その防御は意味を成さないものになるでしょう。     著者: rcole    
記事全体を表示
ymiyashita ‎07-10-2016 06:46 PM
3,254件の閲覧回数
0 Replies
ykato ‎05-31-2016 07:53 PM
8,721件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 URLフィルタリングによる特定HTTPSサイトのブロック方法 https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Block-a-Specific-HTTPS-Site-with-URL-Filtering/ta-p/53840   概要 URLフィルタリングは特定のHTTPSサイトをブロックし、同時にその配下のサイトをすべて許可したい場合、いくつかの課題を提示します。 たとえば、"https://public.example.com/extension1/a" はブロックしたいものの、"https://public.example.com/extension1/b" は許可したい場合などです。   セキュリティポリシーとカスタムURLカテゴリを利用する場合、そのサイトの提供する証明書の「発行先」のコモンネーム(Common Name, CN)でしかマッチさせることができません。   Note: PAN-OS 6.0リリースより、 SSLセッションの "Client Hello message"に含まれる SNI(Server Name Indication) でマッチさせることができます。詳細は Resolving URL Category in Decryption Policy When Multiple URLs are Behind the Same IP を参照ください。   以下のスクリーンショットでは、コモンネームが "*.example.com" であることを確認できます。   セキュリティポリシーでは"*.example.com"をブロックできますが、そのサイト全体がブロックされてしまいます。これでは望ましくないので、URLフィルタープロファイル (URL Filtering Profile) を設定する必要があります。しかしながら、URLフィルタープロファイルを利用する場合の問題は、ファイアーウォール上でそのセッション内のURL全体を精査しなければならないことです。セッションはSSLで暗号化されていますので、復号ポリシーを有効にしないと通信内容を確認できません。   SSL復号化は注意して実装する必要があります。もし、まだファイアウォール上でこれが実装されていない場合、必要な通信に対してのみ復号化 (Decryption) を実施します。復号ポリシーには「URLカテゴリ」を設定することができます。復号化では、セキュリティポリシーと同じ理由で、HTTPSサイト上の特定のサブページでブロックが必要なことを知ることができません。復号ポリシーは、提供された証明書の発行先のCNをチェックします。もしこれが設定上のURLカテゴリにマッチした場合、SSLセッションの復号化を実施します。   これは "*.example.com" に対し復号化を実施し、URLフィルタで "public.example.com/extension1/a" 宛ての通信をブロックしたい場合に有用な方法です。 Note: "https://" 部分は上記URLから除外しています   手順 以下の手順を実施することで、このような動作を設定できます: Objects > Custom Objects > URL Category へ移動し、"Example Blacklist" という名前のカスタム URL カテゴリを作成します。そこに「public.example.com/extension1/a」のURLを追加します。 URLリストの頭に「https://」は含めないでください。 Objects > Custom Objects > URL Category で、"Wildcard Blacklist" のカスタム URL カテゴリを作成します。URLリストに「*.example.com」を追加します。 Objects > Security Profiles > URL Filtering に移動し、"Blacklisted HTTPS Sites" という名前の URL Filtering profileを作成します。"Example Blacklist" のカスタム URL カテゴリーのアクションを「block」にします。 (これにより URL Filtering profile の URL Block Categories に追加されます) Policies > Securityに移動し、trust から untrust 宛の通信用に "Deny HTTPS Sites" のポリシーを作成します。アクションは  allow のままで、Profile Settings > Profile Type を選択し、URL Filtering で "Blacklisted HTTPS Sites" のプロファイルを選択します。 Device > Certificate Management > Certificatesへ移動し、"Palo Alto Decryption Trusted" と "Palo Alto Decryption Untrusted" という2つの自己署名 (self-signed) CA 証明書を生成します。 証明書の CN を "Palo Alto Decryption Untrusted" ではファイアウォールの信頼された IP を、 "Palo Alto Decryption Trusted" では任意のものを指定します。 (これらの証明書をエクスポートし、Group Policy等を利用してユーザへプッシュします)。"Palo Alto Decryption Trusted" 証明書を開き、 "Forward Trust Certificate" のチェックを入れます。また、"Palo Alto Decryption Untrusted"  証明書では "Forward Untrust Certificate"にチェックします。 Policies > Decryption へ移動し、"Decrypt Blacklisted Sites" という復号ポリシーを追加します。送信元ゾーンをtrust、宛先ゾーンを untrust、 URL カテゴリに "Wildcard Blacklist"、 オプションでは Action: Decrypt、Type: SSL Forward Proxy とします。 コミット後、 https://public.example.com/extension1/a はブロックされます。    
記事全体を表示
dyamada ‎04-04-2016 01:24 AM
15,003件の閲覧回数
0 Replies
Ask Questions Get Answers Join the Live Community