Palo Alto : 20 nouvelles applications ajoutées

Le leader mondial de la cybersécurité, Palo Alto, ajoute 20 nouvelles applications à son moteur de détection applicative. Bien connu pour repousser les limites de la sécurité informatique, de part ses innovations et ses produits, Palo Alto networks met à jour sans cesse ces produits. Grâce à ces nouvelles fonctionnalités, Palo Alto Networks étant encore davantage les possibilités.

Dans le tableau, ci-dessous, vous trouverez les 20 applications ajoutées par Palo Alto:

Nous allons faire un focus sur les fonctionnalités ms.
Palo Alto a ajouté 5 fonctional-App-IDs pour msrpc et 2 fonctional-App-IDs pour active-directory qui peuvent être utilisées pour obtenir de la visibilité et également pour une stratégie de sécurité, pour bloquer le mouvement latéral d’un attaquant.

ms-remote-registry, ms-scheduler- Les attaquants ont tendance à utiliser ces opérations pour énumérer les hôtes distants et exécuter des commandes sur des machines distantes. Par défaut, les ordinateurs n’utilisent pas ces services RPC, vous ne pouvez donc autoriser que des sources spécifiques (serveurs de gestion ou analyseurs de vulnérabilités) ou des destinations spécifiques nécessitant ces services RPC.

ms-local-user-management , ms-local-security-management – Vous pouvez utiliser ces identifiants d’application uniquement pour les DCs et entre les DCs. Cela permettra de réduire la surface d’attaque pour les attaquants utilisant « Bloodhound » et d’autres méthodes d’énumération automatique afin de trouver un moyen d’obtenir un accès aux contrôleurs de domaine.

Active-directory  fonctional-App-IDs

ms-dc-replication – les attaquants pourraient abuser du service RPC pour vider des données de l’active directory à l’aide de techniques dcsync ou shadow DC. En mettant en liste blanche ces App-IDs uniquement sur les contrôleurs de domaine (en tant que sources et destinations), vous pouvez réduire la surface d’attaque.
Des fonctional-App-IDs pour les applications SaaS telles que Yahoo, on également été ajoutées. Cela peut aider à contrôler les aspects tels que les téléchargements de fichiers, les chargements et le partage pour cette application SaaS populaire.

Ajout d’ ID d’application pour les logiciels de gestion de code – coverity, crucible, Jfrog et sonarqube.

Pour finir l’ajout d’identifiants d’application pour le crypto-loot et le jsecoin afin de détecter et de bloquer les activités d’analyse cryptographique dans votre réseau.

Palo Alto a également mis à jour certaines applications déjà intégrées :

L’active directory est maintenant présenté sous cette forme :

Le RPC est maintenant présenté sous cette forme :

Cette segmentation du RPC et d’Active Directory laisse présager de futurs ajouts permettant une meilleure granularité pour les administrateurs.

Pour plus de détails sur les applications détectées par Palo Alto, vous pouvez vous référer à la base de connaissance suivante : https://applipedia.paloaltonetworks.com/