Wie man eine eigene Signatur-App erstellt, protokolliert und verweigert

Details

Für dieses Beispiel, die Regel erstellt Blöcke Download der Datei "wrar39b4. exe"

• Verwenden Sie ein Paket-Capture-Tool, um eine Signatur für die benutzerdefinierte Anwendung zu identifizieren
• Erstellen Sie eine individuelle Anwendung in Objekten > Anwendung > neu
• Definieren Sie die Besonderheiten in der benutzerdefinierten Anwendung, insbesondere die Transportschicht (TCP/80) und die Signatur (Screenshot für Details)
• Erstellen Sie eine Sicherheitspolitik, die die benutzerdefinierte Anwendung verweigert
• Commit
• ÜberPrüfen Sie den Traffic auf Log, um die Verweigerung der Anwendung zu bestätigen

Wireshark Packet Capture

1. Um eine BenutzerDefinierte Anwendung von der WebGUI zu erstellen, gehen Sie zu Objects > Anwendungen > neu.
2. Geben Sie der Anwendung einen Namen und eine Beschreibung.
3. Bearbeiten Sie die Eigenschaften des Objekts und weisen Sie ihm eine entsprechende Kategorie, Unterkategorie, Technologie, Risikoklasse und alle Eigenschaften zu, die gelten können.
   
   
   
4. Wählen Sie den richtigen Port (TCP/80 für dieses Beispiel):
   
   
   
5. In der Registerkarte Signaturen erstellen Sie eine neue Signatur:
   
   
   und fügen Sie eine oder Bedingung hinzu:
   
   
   
6. Definieren Sie den Signatur-Kontext (http-req-URI-Path für dieses Beispiel), mit einem Muster von "wrar39b4. exe" und einem Qualifikant der "http-Methode" "GET".
   
   
   
7. Erstellen Sie eine Sicherheitsregel, um die Anwendung zu blockieren.
   
   
   
8. ÜberWachen Sie die neue Regel im Verkehrsprotokoll.
   
    

Besitzer: Panagent