如何启用增加 HTTP 标头测井
Resolution
概述
本文档描述了如何创建一个自定义的 URL 内容类型,每当野火提交日志条目详细信息不会显示一个值为用户代理。
随着泛 OS 6.1 的发布,对于协助取证和故障排除任务的字段添加了 HTTP 标头字段。主要使用案例是威胁分析,如下︰
- 用户的恶意威胁日志从背后 web 代理客户端中的 C2 交通提醒和想要找出受感染的客户端。威胁日志中的 XFF 字段可以用于标识受感染的客户端。
- 交通和受损的主机 URL 日志,用户可能积极进行调查。审查由客户端使用的用户代理字符串可以帮助识别非法用户代理可能数据渗出 (或数据 exrusion),未经授权将数据从一台计算机传输。
- 恶意软件在交通调查期间确定和 URL 日志条目与恶意驱动器由页用来破坏主机相关联。然而,什么需要是执行如推荐人要阻止引荐,提醒引荐所有者,重定向的页面或找到其他可能破坏的主机等。
- 那里是野火报告为恶意的文件,这使得它有必要确定感染病毒的主机使用 web 代理服务器。野火报告中的 X 转发的值可以识别该主机。
这些字段的记录是在一个会话中的 URL 过滤、威胁和野火提交日志详细日志视图中可见。详细日志视图中查看时,它会在底部显示相关的日志。当选择相关的日志,查看更改的内容之一。这允许一个查看之间无需离开此对话窗口的相关日志的详细信息。例如,一个 URL 过滤日志条目显示从中检索文件的 URL。此日志的细节可能会显示与转发到野火分析检索的文件关联的野火提交日志。详细的野火提交日志现在可以显示与此事件关联的 HTTP 标头信息。
详细
日志记录 HTTP 标头信息
前潘-OS 6.1
公布前的泛 OS 6.1,用户可以选择使用 URL 筛选日志中的源用户列来显示 X 转发的值。这将在设备中启用 > 设置 > 内容 id。
一旦选定了齿轮要编辑的属性,请检查 x 转发为框中显示此字段的内容源用户列中。
此设置不是一个先决条件,也不是它与泛 OS 6.1 HTTP 标头的日志记录功能关联,并应分开考虑。潘 OS 6.1 中和后,可能会被认为是一个旧式的设置。
潘 OS 6.1 及更高版本
URL 筛选日志现在有一个单独的列,为 X 转发的价值从 HTTP 标头。
注意: 在URL 筛选配置文件的 "设置" 选项卡上启用了 HTTP 标头日志记录.
HTTP 标头测井是在野火提交日志项的日志详细信息中可见。
为了使这一细节显示在野火日志,删除在"日志容器页面只有"URL 筛选安全配置文件中检查。选中此复选框仅匹配 URL 类别的主页面时,可能在主页面内加载的记录,不进行任何后续页面。取消选中此框将填充日志详细信息 HTTP 标头字段, 但日志记录的数量可能会压倒防火墙. 相反,它被建议创建一个自定义 URL 的内容类型。
将 HTTP 标头列添加到 URL 过滤日志
- 在监视器中 > URL 筛选,突出旁边放置新的列向表中添加新列。
- 选择向下的三角形以显示上下文菜单。
- 滑过要显示列的列表中的列。列选择列表中的顺序将会发生变化。
它可能是有用的 URL,X-转发-,引荐,和/或用户代理显示为列标题。这是它现在的外观︰
在日志表的最左侧列中选择放大镜图标将打开详细的日志视图窗口,那里有一个用于 HTTP 标头部分
通知的 HTTP 标头部分中的图像并不是所有的字段将显示充满信息。有时,应用程序建立网络连接不是泛 os。
定义一个自定义 URL 的内容类型
如果禁用了"日志容器页面只是",则在防火墙上的伐木量增加,从而导致不良影响。或者,还可以创建自定义的 URL 内容类型在野火 URL 提交条目的详细的日志查看填充 HTTP 标头字段部分。
- 首先,确定的内容类型。这样做的一个好方法是创建一个会话的数据包捕获。
在上面的图片中, 与获取/公共/api/测试/pe 相关的内容类型是 "应用程序/八位字节流". - 转到设备 > 设置 > 内容 ID > 容器页面。
- 单击 "添加" 以创建新的容器页对象。
单击 "添加" 将打开下面的 "自定义 URL 内容类型" 窗口. - 选择添加再输入"应用程序/八位字节流"。
- 当创建一个自定义 URL 内容类型的对象,包括预定义的对象。
- 选择添加多次添加他们所有。这会导致之外添加预定义对象。
每当野火提交日志条目详细信息不会显示一个值为用户代理,请重复此过程。
所有者︰ jjosephs