如何配置扩展数据包捕获
32711
Created On 09/25/18 17:15 PM - Last Modified 11/09/23 07:24 AM
Resolution
概述
PAN OS 6.0 介绍了在帕洛阿尔托网络防火墙上记录的威胁捕获超过单个数据包 (最多50个) 的能力。
扩展数据包捕获对于以下方面很有用:
- 确定攻击是否成功
- 了解攻击者使用的方法的更多信息
- 使用更多上下文验证通信量的恶意
注意:扩展数据包捕获仅在反间谍软件和漏洞配置文件中可用.
步骤
- 转到设备 >> 安装程序 > 内容 ID 和编辑威胁检测设置。
- 配置要捕获的数据包数量 (最多50个数据包):
- 转到对象 > 安全配置文件 > 漏洞保护。
- 在漏洞保护配置文件上启用数据包捕获的 "扩展捕获" 模式:
注意:此屏幕截图显示了如何创建一个策略, 为任何漏洞收集扩展捕获, 这是一个示例. 您可以编辑更细化的策略, 并仅对特定级别的严重性启用扩展捕获。如果需要仅为一个漏洞启用扩展捕获, 请阅读本文. - 在安全策略上应用此配置文件。还可以更改扩展数据包捕获的 logdb 配额 (最大90% 配额):
重要:如果配置文件的 "操作" 设置为 "阻止", 则只捕获单个数据包.
所有者: rvanderveken