Cómo crear, registrar y deNegar una aplicación de firma personalizada

Detalles

Para este ejemplo, la regla creó bloques que descargaban el archivo "wrar39b4. exe"

• Utilice una herramienta de captura de paquetes para identificar una firma para la aplicación personalizada
• Crear aplicación personalizada en objetos > aplicación > nuevo
• Defina los detalles en la aplicación personalizada, específicamente la capa de transporte (TCP/80) y la firma (captura de pantalla para obtener más información)
• Crear una directiva de seguridad que niegue la aplicación personalizada definida
• Confirmar
• Revisar tráfico a registro para confirmar la negación de la aplicación

Captura de paquetes Wireshark

1. Para crear una aplicación personalizada desde el WebGUI, vaya a objetos > aplicaciones > nuevo.
2. Dé a la aplicación un nombre y una descripción.
3. Edite las propiedades del objeto y asígnele una categoría, subcategoría, tecnología, clase de riesgo y todas las características que puedan aplicarse.
   
   
   
4. Elija el puerto correcto (TCP/80 para este ejemplo):
   
   
   
5. En la ficha firmas, cree una nueva firma:
   
   
   y agregue una o condición:
   
   
   
6. Defina el contexto de firma (http-req-URI-path para este ejemplo), con un patrón de "wrar39b4. exe", y un calificador de "método http" "Get".
   
   
   
7. Cree una regla de seguridad para bloquear la aplicación.
   
   
   
8. Supervise la nueva regla en el registro de tráfico.
   
    

Propietario: panagent