如何配置扩展数据包捕获

概述

PAN OS 6.0 介绍了在帕洛阿尔托网络防火墙上记录的威胁捕获超过单个数据包 (最多50个) 的能力。

扩展数据包捕获对于以下方面很有用:

• 确定攻击是否成功
• 了解攻击者使用的方法的更多信息
• 使用更多上下文验证通信量的恶意

注意:扩展数据包捕获仅在反间谍软件和漏洞配置文件中可用.

步骤

1. 转到设备 >> 安装程序 > 内容 ID 和编辑威胁检测设置。
2. 配置要捕获的数据包数量 (最多50个数据包):
   
3. 转到对象 > 安全配置文件 > 漏洞保护。
4. 在漏洞保护配置文件上启用数据包捕获的 "扩展捕获" 模式:
   
   
   注意:此屏幕截图显示了如何创建一个策略, 为任何漏洞收集扩展捕获, 这是一个示例. 您可以编辑更细化的策略, 并仅对特定级别的严重性启用扩展捕获。如果需要仅为一个漏洞启用扩展捕获, 请阅读本文.
5. 在安全策略上应用此配置文件。还可以更改扩展数据包捕获的 logdb 配额 (最大90% 配额):
   

重要:如果配置文件的 "操作" 设置为 "阻止", 则只捕获单个数据包.

所有者: rvanderveken