Søk i denne bloggen

MFA awareness

Sosial manipulasjon og MFA-koder:
Vær forsiktig hvis noen ringer eller sender deg melding og ber om MFA-koden din. Selv om de påstår å være fra IT-avdelingen, bør du aldri dele MFA-koden din. Hackere kan late som de er pålitelige personer for å skaffe seg kodene dine.

MFA-tretthets angrep:
I disse angrepene vil du motta gjentatte MFA-forespørsler på enheten din. Målet er å irritere eller overvelde deg slik at du godkjenner forespørselen bare for å stoppe varslingene, noe som deretter gir hackeren tilgang.

Uventede MFA-forespørsler:
Vær alltid mistenksom overfor uventede MFA-forespørsler. Hvis du ikke har startet en påloggings prosess, bør du ikke godkjenne MFA-forespørselen.

Bekreft forespørselens ekthet:
Hvis du får en MFA-forespørsel som virker malplassert, bør du kontakte IT-avdelingen din gjennom kjente, offisielle kanaler for å bekrefte om den er legitim.

Økt kapring etter MFA:
Etter at du har autentisert deg vellykket med MFA, kan hackere forsøke å stjele økten din for å få tilgang til kontoen din. Selv om du har blitt autentisert med MFA, eksisterer denne risikoen. Dette skjer vanligvis gjennom falske nettsteder, som for eksempel "offffice.com," der hackere lurer brukere til å gi fra seg øktinformasjonen sin.

PaloAltoNetworks firewall - Decrypt SSL Inbound

 


Hvordan konfigurere SSL Inbound Inspection.


P.S. På inbound decrypt regel bør du også legge til Dest.IP til din server!




Automated IT security during the holidays

 Automatisert IT-sikkerhet i ferien

PaloAltoNetworks' brannmur tilbyr dynamiske sikkerhetsregler som automatisk isolerer PC-er eller servere ved forsøk på kontakt med kjente Ransomware-nettsider. Dette sikrer umiddelbar beskyttelse mot skade ved uhell, som å klikke på skadelige lenker, og reduserer risikoen for nedetid og skade på både arbeidsstasjoner og servere.

Før implementering er det viktig å vurdere konsekvensene av at enheter kan bli isolert til IT-avdelingen har verifisert trusselen. Det er essensielt å balansere sikkerhet med kontinuerlig tilgjengelighet. I denne sammenheng kan det være nyttig å tilpasse karanteneregler, som å bestemme varigheten av karantenen og om enheten skal være i full eller delvis karantene. Dette kan for eksempel innebære at visse nøkkelfunksjoner forblir tilgjengelige mens potensielt risikable funksjoner blir begrenset. Slik tilpasning sikrer at virksomheten kan fortsette å operere effektivt samtidig som den beskytter mot cyber trusler.

Christmas awareness - avoid scams

Julen - En tid for gleder men vær på vakt! 


Falske Gavekort og Rabattkoder:
E-poster eller meldinger som tilbyr "gratis" gavekort eller store rabatter.


Falske Leveringsvarsler:
E-poster eller SMSer som later som de er fra leveringstjenester, og ber om personlig informasjon.


Falske Nettbutikker:
Nettbutikker som ser ekte ut, men som selger falske eller ikke-eksisterende varer.


Falske Julehilsener:
E-kort som ser ut til å være fra kjente, men inneholder skadelig programvare.


Falske Konkurranser:
Konkurranser eller giveaways som ser ut til å være fra kjente merker, men som egentlig er svindel.


Falske Annonser:
Annonser for produkter til svært lave priser som leder til falske nettsider.


Falske Kjendis Endorsements:
Innlegg som ser ut til å bli støttet av kjente personer eller influencere, men som fremmer falske produkter.


Phishing via Direktemeldinger:
Meldinger fra falske profiler med lenker som fører til phishing-nettsider.


Charity Phishing (E-post og Sosiale Medier):
Svindler som ber om donasjoner til ikke-eksisterende veldedige organisasjoner.


MFA, PW and encryption



Hvor lett det er å hacke seg inn på en PC som er stjålet:

Passordstyrke: En svak eller vanlig brukt passord kan lett bli brutt gjennom brute force-angrep eller ordbokangrep.

Kryptering: Hvis dataene på PC-en ikke er kryptert, kan en tyv enkelt få tilgang til dem ved å fjerne harddisken og koble den til en annen enhet.

Fysiske sikkerhetstiltak: Uten BIOS- eller UEFI-passord kan en angriper endre oppstartsinnstillinger eller bruke live USB-stasjoner for å omgå operativsystemets sikkerhetskontroller.

Oppdateringsstatus: Utdaterte operativsystemer eller applikasjoner med kjente sårbarheter kan utnyttes for å få tilgang.

Tilgang til recovery- eller admin-kontoer: Uten MFA kan tilgang til slike kontoer gi full kontroll over systemet.


Multifaktorautentisering (MFA) bør brukes i flere sammenhenger for å maksimere sikkerheten:

Skytjenester: For alle skybaserte applikasjoner og tjenester, spesielt de som lagrer sensitiv informasjon eller gir tilgang til kritiske systemer.

Lokal PC: På lokale datamaskiner, særlig for administratorer eller brukere med tilgang til sensitiv informasjon. Dette beskytter mot uautorisert tilgang hvis passord kompromitteres.

Fjernskrivebord og VPN: For fjernaksessystemer som VPN eller Remote Desktop Services, siden disse ofte er mål for angrep. MFA sikrer at kun autoriserte brukere kan koble seg til nettverket eksternt.

E-post og Kommunikasjonsverktøy: For e-postsystemer og kommunikasjonsverktøy, spesielt i tilfeller hvor de inneholder eller kan gi tilgang til sensitiv informasjon.

Nettverksenheter og Servere: På nettverksenheter og servere for å sikre at kun autoriserte individer kan gjøre endringer eller få tilgang til sensitiv informasjon.


SMS vs RCS

Hvem er du mest redd for, naboen eller noen på andre siden av kloden?

SMS,
som mangler ende-til-ende-kryptering, kan være sårbar for lokale overvåkingsmetoder, slik at en nabo med riktig utstyr potensielt kan avlytte meldinger. 


RCS,
derimot, sendes over IP-nettverk og kan teoretisk sett være utsatt for fjernovervåking. Dette innebærer at noen på andre siden av verden kan ha mulighet til å få tilgang til RCS-meldinger gjennom nettverksangrep eller sikkerhetssvakheter. Bruken av offentlig Wi-Fi kan også øke sårbarheten til RCS, da angripere på slike nettverk kan forsøke å utnytte sikkerhetsgap for å få tilgang til eller manipulere kommunikasjonen.

Hva velger du?

Hvordan skru av / på RCS

https://support.google.com/messages/answer/7189714?hl=no

Firewall port test


Lyst å ta en test på brannmuren din?
Du skal ha applikasjon og port whitelisting men noen porter er det greit å blokke mot internett, sånn for å være helt sikker på at en ikke kommer ut med denne type trafikk på en feilkonfigurert brannmur regel.

Her er listen med porter jeg mener ikke skal være åpne mot internett, hvis du har dem åpen, så har du kanskje en grunn for det? 
P.S. Port 80 skal trolig være åpen om en tester fra klient nettet!


Powershell:

# Definerer portene som skal testes
$ports = @("445", "853", "23", "22", "137", "135", "3389", "3306", "1521", "80")

# Går gjennom hver port og tester tilkoblingen
foreach ($port in $ports) {
    Write-Host "Tester port $port..."

    # Tester tilkoblingen
    $result = Test-NetConnection -Port $port -ComputerName "35.180.139.74" -InformationLevel "Detailed"

    # Sjekker om tilkoblingen var vellykket og viser resultatet
    if ($result.TcpTestSucceeded) {
        Write-Host "Port ${port}: Port open"
    } else {
        Write-Host "Port ${port}: Port closed"
    }
}




Resultatet bør nok se ca slik ut:


PaloAltoNetworks firewall - DNS Security



 Hvordan aktivere og verifisere din DNS Security / DNS Sinkhole


Video laget av P4CKETL0SS  

PaloAltoNetworks firewall - SDWAN

 

SD-Wan er ikke noe jeg har lekt å mye med, slik jeg forstår det så er det to-delt.
En kan bruke det sammen med VPN, noe jeg ikke har testet ut,
og en kan bruke det til å få flere bærere mot internett.
Det er veldig fint om en har noen linjer som er ustabile eller at en ikke har nok båndbredde på kun en linje.

Jeg har kun testet delen med flere linjer og fordeling av trafikk og bruker denne hjemme pr nå.
3 forskjellige internet leverandører tilkoblet brannmuren og noen få konfigurasjonsendringer og en er i gang.
For å teste så har jeg 3 SD-Wan regler for ping, slik at jeg kan kjøre ping mot 3 IP`er og raskt se hvilken av linjene mine som er oppe.

Jeg har også laget 3 SD-Wan regler for IP-info, slik at jeg kan gå på tilsvarende "find my IP" sider og få info om min offisiselle IP på alle 3 linjene mine.

sd-wan regler



En kan lett fordele/rute trafikken basert på bruker, applikasjon, src-IP eller dest-IP.
Det er også mulig å sette prioritet på linjene, eller fordele f.-eks. 90% / 10% på 2 linjer.

Tar med et eksempel VSAT og Starlink:
 For de som har flere linjer og den ene er treg men fast pris(VSAT), altså ikke kvote basert, så vil jeg anbefale å kjøre alle ms-update, apple-update osv via den tregeste linjen.
Bruk gjerne sammen med QoS slik at det bare tar X antall % av linjen.

Slik vil den raske linjen (Starlink) være tilgjenglig for Teams, Zoom, Facetime, o.l. som kanskje er mer viktig for å få dine medarbeidere fornøyde.



PaloAltoNetworks firewall - FQDN vs URL



Det er viktig å vite forskjell på FQDN og URL når du lager brannmur regler på din NGFW



Nederste regel er riktig.

Jeg laget et par eksempel her.
Første regel slipper gjennom ssl trafikk på port 443 til flere tusen domener.*
Andre regel slipper gjennom ssl trafikk på port 443 mot files.avast.com

*f.eks disse:
cdn.lmbd[.]ru
res.chinese.littlefox[.]com
download.bestfuturemac[.]com
Dette er sider jeg ikke kjenner til, men jeg ser heller ingen grunn til å åpne for dem når idèen var å åpne for files.avast.com

Det finnes unntak der en må bruke FQDN, men forsøk med URL der det er mulig.



PaloAltoNetworks firewall - policy URL configuration

 


Hvis du synes det er vanskelig å lage gode brannmur regler på din PaloAltoNetworks NGFW så kan du få en lite tips her.

1. Først  lager du en brannmur regel som gjelder kun for den enheten du holder på med.
2. La det gå trafikk der noen dager/uker.
3. Lag så en rapport, sorter ut på den enheten du skal lage regel på. f.eks, en switch, server eller xbox.

URL Domain er det eneste feltet du trenger i dette tilfelle.



 


Ekporter listen til CSV.



 


Åpne filen i Excel eller Google Sheets.
Fjern "URL Domain" og legg på en "/" i rad B.
Lagre så som txt format og åpne i Notepad for å se at filen ser ok ut.
Mulig du må ta en "find and replace" på noen mellomrom. 







Importer filen som en URL Category i din brannmur.




URL kan nå legges til en regel du laget for den aktuelle enheten.
Applikasjoner som brukes finner du i regelen du alt har laget for enheten.
Se applikasjons listen og legg til under "Compare Applications &  Applications Seen"




Slik må du gjøre på alle dine enheter
Ingen switcher, brannmurer, printere, servere e.l. skal ha full tilgang til internett.

N.B. Om du ser noen URL`er i listen din som du ikke ønsker så er det bare å fjerne dem.
f.eks. så ønsker noen å fjerne telemetry URL`er.






Mr.Logg`s free IoT addon to PANW NGFW


PANW NGFW har en kul sak som heter IoT, denne gir mye informasjon om sårbarheter osv + den sender litt device info tilbake til brannmuren slik at en kan se device
 info rett i Monitor loggen. 

Bare for å teste så forsøkte jeg å lage en liten work-around slik at en kan få inn litt device info i loggen uten å kjøpe IoT lisensen.

Jeg brukte Dynamic tag og laget egne grupper for de enhetene jeg har tilgjengelig.
Dynamic tag laget jeg basert på unike URL`er de forskjellige enhetene går mot.
Denne vil virke på nye enheter i samme kategori også, så dette er ikke det samme som å lage objekt navn på alle dine IP`er.

Bare ta kontakt om du har lyst å sette dette opp selv og trenger litt starthjelp!


Windows, Apple, Android, XDRBroker, PANOS, SmartTV, PhilipsHue, Homey, UnifiNVR og UnifiCloudKey er det jeg har laget på til nå, skal lage på Sensibo, MyQ og Verisure senere.

Personlig synes jeg dette var kjekk info å få med i brannmur loggen min.

Ping log in Cortex XDR

 


Hvis du har Cortex XDR Pro pr TB så kan du laste ned XDR VM Broker, den tar i mot syslog og sender videre til din Cortex XDR plattform.

Med en liten IPs.ini fil som IP-liste, en ping_and_send_to_syslog.cmd og en Send-Udp.ps1 fil så kan en lett lage egen syslog.

Jeg starter bare .cmd filen som da går i en loop og pinger alle IP`er i ini filen.
Loggen går til en Cortex XDR widget slik at jeg har full logg på de enhetene jeg ønsker det på.






Edit: la på en liten linje til i scriptet, slik at en får med CPU, Minne, HDD og Fan.







Photo on computer login

 
Er du en som liker å ha kontroll på egne pcer?
Hva med å ta en bilde av den som logger på pcen din?
Satt opp som en test på min pc, alt du trenger er et program som kan ta bilde via et bat script.

Åpne Task Scheduler og legg inn at den starter TakePhotoOnLogin.bat hver gang den trigger "At log on" eller "on workstation unlocked" så får du deg et fint fotoalbum.
Om en ønsker så kan en helt sikkert få lagt inn at bildet blir sendt til deg selv på mail.


Jeg har to kamera tilkoblet akuratt nå så jeg la inn begge.


P.S. I dette tilfelle diskuterer vi ikke personvern.... det tar vi en annen dag.

Social Media Awareness

Privacy Settings:
Regularly review and adjust your privacy settings on social media platforms to control who can see your posts and personal information.

Be Selective:
Be mindful of the information you share publicly. Avoid sharing sensitive personal details like your home address, phone number, or financial information.

Think Before You Share:
Before posting, consider the potential implications of your content. Once something is online, it's difficult to completely remove it.

Avoid Oversharing:
Be cautious about sharing too much information about your daily routines, vacations, or personal events. This information could be exploited by malicious individuals.

Beware of Friend Requests:
Only accept friend or connection requests from people you know and trust. Cybercriminals may create fake profiles to gather information.

Use Strong Passwords:
Ensure your social media accounts are protected with strong, unique passwords. Enable two-factor authentication for an added layer of security.

Be Cautious with Links:
Don't click on suspicious links or download files from unknown sources, even if they're shared by a friend. These could lead to malware or phishing attempts.

Verify Before Sharing News:
Before sharing news articles or information, verify their credibility to avoid spreading false information.

Geolocation:
Be cautious when sharing your location. Avoid revealing your exact whereabouts unless necessary.

Check App Permissions:
Review the permissions you've granted to apps connected to your social media accounts. Remove unnecessary or suspicious apps.

Review Tags and Mentions:
Regularly review posts in which you've been tagged or mentioned. Remove any that you're uncomfortable with.

Beware of Verification Code Requests:
Never share verification codes received via SMS or other methods. Scammers may try to trick you into revealing these codes.

Avoid Responding to Unsolicited Messages:
If you receive unsolicited messages asking for personal information or offering deals that seem too good to be true, exercise caution.

Verify Account Information:
If a friend's account suddenly requests money or sensitive information, verify their identity through a different communication channel before taking any action.

Identifying a Compromised PC

Unusual Behavior:
Should your computer display unusual behavior, like unexpected pop-ups, frequent crashes, or slower performance, it might be compromised.

Unauthorized Software:
If you notice unfamiliar programs or software running on your computer that you did not install, it could be a sign of compromise.

Browser Changes:
Check your browser for unexpected changes, such as a new homepage, search engine, or unfamiliar toolbar. These alterations may indicate a security breach.

Disabled Security Software:
If your antivirus or security software has been turned off without your knowledge, it's a red flag.

Unexplained System Crashes:
Frequent crashes or sudden system shutdowns might be caused by malicious software.

Suspicious Email Activity:
If you notice your email account sending out emails you didn't compose, it could indicate unauthorized access.

Changes in File Access:
If you suddenly cannot access files or folders you previously could, it may be due to unauthorized changes.

Unwanted Browser Changes:
If your web browser frequently redirects you to unfamiliar or malicious websites, it could be a sign of malware.

Excessive Pop-ups:
A sudden influx of pop-up advertisements, especially those containing dubious offers, is a potential indicator of compromise.

New User Accounts:
If you find new user accounts on your computer that you didn't create, it could be evidence of unauthorized access.

Recognizing Phishing Attempts

Verify Sender:
Carefully examine sender email addresses to ensure authenticity. Cybercriminals often use similar addresses to deceive us.

Exercise Caution with Links:
Before clicking on any links, hover over them to reveal the true URL. Be cautious of links requesting personal information.

Question Urgent Requests:
Be skeptical of emails demanding immediate action or generating a sense of urgency. Cybercriminals often exploit urgency to prompt hasty decisions.

Attachments from Unknown Senders:
Refrain from opening attachments sent by unfamiliar sources, as they may contain malicious content.

Familiarize Yourself with Fake Websites:
Cybercriminals may create fake websites that resemble legitimate ones. Always verify the website's URL before entering any personal information.

Spelling and Grammar Mistakes:
Be wary of emails with multiple spelling or grammatical errors. Legitimate organizations usually maintain professional communication standards.

Generic Signatures:
Look out for emails with generic signatures lacking specific names, titles, or contact information.

Unusual Sender Email Addresses:
Be cautious if the sender's email address seems unusual or unrelated to the organization.

Mismatched URLs:
Verify that the URLs in emails match the official domain of the organization. Cybercriminals often use slightly altered URLs.

Requests for Personal Information:
Be cautious of emails asking for sensitive information, even if they appear to be from trusted sources. Legitimate organizations rarely request sensitive data via email.

Fast firewall test

Hvis du kan åpne noen av disse linkene fra din jobb PC så er brannmuren i din bedrift konfigurert feil.




...og du skal selvfølgelig ikke kunne nå disse fra en server!

PaloAltoNetworks firewall - policy configuration


Jeg får av og til spørsmål om hvordan en PANW NGFW skal konfigureres, regner da med det er snakk om regelsett og ikke alt det andre som administrator kontoer, multifaktor, sertifikater osv.

Tenkte derfor jeg skulle skrive noen få huskeregeler om brannmur regler.
  1. Alle regler skal ha en Sikkerhets Profil.
  2. Alle regler skal ha applikasjon og port (eller app-default)
  3. Alle servere (eller servergrupper) skal ha egen regel for det som er spesielt med akkurat den.
  4. Felles regler som ms-update, sertifikat nedlasting o.l. er en fordel å ha, disse skal over alle «serverxxx til internett» reglene dine.
  5. Alle IOT dingser skal ha egne regler.
  6. «Ansatte pc til internett» skal  være hvitliste regel med applikasjoner og app-default, den regelen havner ofte på rundt 300 -350 applikasjoner, det er mye sikrere enn alle 4300 som finnes i PaloAltoNetworks verden pr nå.
  7. Hvis en f.eks. behøver tilgang til en webportal.bedrift.no:8443 for administrering så skal det være egen regel for dette, da med egen URL kategori. Hvis mulig så legg også på de få brukerne som skal nå webportalen.
  8. Noen andre port baserte regler blir det også, men stort sett ikke mange, legger med et eksempel her.

Etter du har gjort det på listen over bør din AIOps - Best Practice Assessment (BPA) se noenlunde slik ut.


PaloAltoNetworks firewall - URL Categories - %

 

Alle vet at internett kan være et skummelt sted, hva med å begrense det litt?
Hvis en tenker at en bruker skal ha tilganger til alt han/hun trenger for å få utført arbeidet sitt så bør vel det holde?

Hvor mye av internett kan du blokkere på jobb og allikevel gjøre jobben din?

Satt opp et eksempel her, da med lik prosentsats pr kategori, noe som ikke stemmer helt med virkeligheten, men som likevel gir en pekepinn på hvor mye du egentlig kan begrense internett på en arbeidsplass.

eksempel

Kan ta et eksempel på et phishing angrep som er mye brukt i 2023.

Bruker få en mail med et .html vedlegg, når personen åpen vedlegget blir den åpnet lokalt på pc.
URL filter vil ikke kunne blokkere den da trafikken er på lokal pc og ikke via en brannmur.
Antivirus vil normalt ikke blokkere denne da den kun inneholder normal html kode.
Personen som har åpent vedlegget får så beskjed om å legge inn brukernavn og passord da dette dokumentet kun er ment for han/hun.
Når bruker har lagt inn dette og bekreftet sin MFA vil infoen blir sendt til en webside som kontrolleres av angriper. Hvis den websiden er blokkerte i URL kategoriene over så er angrepet mislykket.

Om du er i en slik situasjon vil jeg vil fortsatt anbefale å bytte passord snarest, men din "MFA session token" er fortsatt sikker.


PaloAltoNetworks firewall - URL Categories - Continue

URL filter, Alert vs Continue kan utgjøre en stor forskjell.

Hvis det er noen av PA URL kategoriene du bruker på jobb, men bruker sjelden så bør du endre kategorien fra Alert til Continue. Da vil bruker få opp et varsel om han/hun havner på en side i valgt kategori.

Med en Continue vil en også automatisk blokkere om pc forsøker en skjult nedlasting av virus fra en side i en av kategoriene som du har valg Continue på. 

Om det er en webside så vil bruker få mulighet å gå videre, en kan endre tidsbegrensningen på dette slik at kategori f.eks er åpen i 30 minutter før en får ny continue melding.

Anbefaler virkelig å ha mye på Continue for IT bruker, disse har mer tilgang enn andre og bør derfor sikres enda med.

 



P.S. for å få opp URL block response page når en ikke har på decrypt så må en aktivere den via CLI:

set deviceconfig setting ssl-decrypt url-proxy yes

Info hentet fra:

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFKCA0




Cortex XDR - XQL-QUERY: NGFW Monitor Traffic

 

Hvis du har Cortex XDR Pro pr TB og en eller flere PA NGFW så vil jeg anbefale å kjøre denne som en XQL-QUERY:


dataset = panw_ngfw_traffic_raw 
|fields from_zone, source_ip , source_user , is_decrypted , to_zone , dest_ip , protocol , dest_port , app , bytes_sent , bytes_received  , action , rule_matched , log_source_name 


Med denne kan du få likt bilde og like søkemuligheter som du får direkte på din PA NGFW under Monitor - Traffic
 
En kan også lage for Monitor-Threat og Monitor-URL Filtering om en ønsker det.



Veldig fin å ha om de som jobber med Cortex XDR av en eller annen årsak ikke har tilgang til brannmur direkte.




Slik blir XQL-QUERY for Monitor - URL Filtering:

dataset = panw_ngfw_url_raw 
|fields from_zone, source_ip , source_user , is_decrypted , to_zone , url_category , uri , dest_ip , protocol , dest_port , app , action , rule_matched , log_source_name 



Cortex XDR - XQL-QUERY: Client software version

 

Hvis du har Cortex XDR så vil jeg anbefale å kjøre denne som en XQL-QUERY:


dataset = xdr_data 
| filter (action_process_file_info contains """version""")
| alter productName = action_process_file_info -> product_name
| alter productVersion = action_process_file_info -> product_version
| fields productName, productVersion, agent_hostname , action_process_username 
| sort asc  productVersion 
| comp last(_time ) as Time by agent_hostname,  productName, productVersion, action_process_username  
| filter (productName = """Firefox""")  


Lagre den som Widget to library og legg til ditt (nye) Software Dashboard.




Du kan lage flere av den slik at du har for Firefox, Chrome osv
Den gir en veldig grei oversikt over hvilke enheter som bør oppgraderes.

Cortex XDR - XQL-QUERY: PANOS installed and HA-sync

 

Hvis du har Cortex XDR med Pro pr TB så vil jeg anbefale å kjøre denne som en XQL-QUERY:


 dataset = panw_ngfw_system_raw 
| filter (event_description contains """Peer device running""")  or (event_description contains """Installed panos software version""")
| fields log_source_name , log_source_id , event_description 
| sort desc _insert_time 

Lagre den som Widget to library og legg til default Dashboard.


Den gir en veldig grei oversikt over PANOS som er installert og om det er noen HA-brannmurer som ikke er oppgradert.

Cortex XDR - XQL-QUERY: Low free space on c:

 

Hvis du har Cortex XDR med Host Insight så vil jeg anbefale å kjøre denne som en XQL-QUERY:

config case_sensitive = false
| dataset = host_inventory
| arrayexpand disks
| alter disks = json_extract(disks, "$.name"), free_space = to_integer(json_extract(disks, "$.free_space")), size = json_extract(disks, "$.size")
| alter free_space_KB = divide(free_space, 1024) // convert bytes to KB
| alter free_space_MB = divide(free_space_KB, 1024) // convert KB to MB
| alter free_space_GB = divide(free_space_MB, 1024) // convert MB to GB
| filter free_space_GB < 1
| filter (disks = """\"C:\"""")
| fields disks , free_space_MB  , _time  , host_name , agent_domain , ip_addresses , os_caption

Lagre den som Widget to library og legg til default Dashboard.





Den vil da se ca slik ut på ditt Dashboard



Denne er kun for disk c: og kun der det er mindre ledig en 1GB, dette kan du selvfølgelig endre på om du ønsker det.



Cortex XDR - BIOC USB Drive inserted


Hvis en har lyst på en Alert (eller Incident) når noen kobler til en USB disk/minne pinne,
så kan det gjøres med en BIOC.


Velg Severity:Informational for at det kun skal bli en Alert
eller velg Severity:Medium for å få en Incident.



Fra loggen kan en også se USB VID og PID slik at en kan sjekke opp hvilken type USB disk dette er.


Vil også anbefale dere som har tilllat å bruke USB disk i deres bedrift, om å ha en GPO for å tvinge brukere til å bruke kryptering på disse.

Microsoft bitlocker GPO

 











 

Cortex XDR - BIOC Chrome Extentions


Hvis du ikke har GPO på Chrome Extention så kan du lage deg en egen Cortex XDR BIOC for å få litt kontroll på hva som skjer i ditt miljø.


Kjør Test for å se at filteret virker.

*\Google\Chrome\User Data\Default\Extensions\*

Om du har noen extentions som er lov så legg dem inn slik:
!=~id|id|id


 Lagre som ny BIOC og gi den Severity Medium eller høyere slik at du automatisk får en Incident når noen tar i bruk en ny Extention.

Panorama - disconnected



Feilsøking for disconnected device i Panorama.

Har sett dette skje der en bytter IP på Panorama, eller skal koble opp en PA mot en ny Panorama.

Åpne CLI på PA som er disconnected.
Kjør:
request sc3 reset
svar y og kjør så:
debug software restart process management-server
legg så inn Panorama IP og AuthKey og se om den kommer online igjen.
 
Om dette ikke virker så er det en metode til som kan hjelpe.
Fjern PA s/n fra Panorama, commit.
Fjern Panorama IP fra PA, commit.
Legg inn PA s/n i Panorama og ta ut ny AutKey, commit.
Legg inn Panorama IP og AutKey på PA, commit

Burde være unødvendig å si at en skal sjette at trafikk er allow.


Hvis en skal koble på en PA brannmur fra internett og inn til sin on-prem Panorama så må en sette på Public IP Address.

Husk å legg på tillatt IP, enten på Interface Setting eller på NAT regel, eller begge.


..samt lage en NAT regel.f.eks. noe slikt: