Comment créer, enregistrer et refuser une application de signature personnalisée

Détails

Pour cet exemple, la règle créée bloque le téléchargement du fichier "wrar39b4. exe"

• Utiliser un outil de capture de paquets pour identifier une signature pour l'application personnalisée
• Créer une application personnalisée dans les objets > application > nouveau
• Définir des spécificités dans l'application personnalisée, en particulier la couche de transport (TCP/80) et la signature (capture d'écran pour plus de détails)
• Créer une stratégie de sécurité qui nie l'application personnalisée définie
• Validation
• Examiner le trafic vers le journal pour confirmer le refus de l'application

Capture de paquets Wireshark

1. Pour créer une application personnalisée à partir du WebGUI, accédez à objets > applications > nouveau.
2. Donnez un nom et une description à l'application.
3. Modifiez les propriétés de l'objet et assignez-lui une catégorie, une sous-catégorie, une technologie, une classe de risque appropriée et toutes les caractéristiques qui peuvent s'appliquer.
   
   
   
4. Choisissez le port approprié (TCP/80 pour cet exemple):
   
   
   
5. Dans l'onglet signatures, créez une nouvelle signature:
   
   
   et ajoutez une ou condition:
   
   
   
6. Définissez le contexte de signature (http-req-URI-path pour cet exemple), avec un modèle de «wrar39b4. exe» et un qualificateur de «http-Method» «Get».
   
   
   
7. Créez une règle de sécurité pour bloquer l'application.
   
   
   
8. Surveiller la nouvelle règle dans le journal de trafic.
   
    

propriétaire : panagent