如何创建、记录和拒绝自定义签名应用程序

详细

对于本示例, 创建的规则阻止下载文件 "wrar39b4.exe"

• 使用数据包捕获工具标识自定义应用程序的签名
• 在对象中创建自定义应用程序 > 应用程序 > 新建
• 定义自定义应用程序中的具体内容, 特别是传输层 (TCP/80) 和签名 (详细信息截图)
• 创建拒绝自定义应用程序的安全策略
• 提交
• 检查要记录的通信量以确认应用程序的拒绝

Wireshark 数据包捕获

1. 要从 WebGUI 创建自定义应用程序, 请转到对象 > 应用程序 > 新建。
2. 给应用程序一个名称和一个描述。
3. 编辑对象的属性, 并为其分配适当的类别、子类别、技术、风险类和任何可能应用的特性。
   
   
   
4. 选择正确的端口 (此示例的 tcp/80):
   
   
   
5. 在 "签名" 选项卡中, 创建一个新签名:
   
   
   并添加或条件:
   
   
   
6. 定义此示例的签名上下文 (http-申请-uri 路径), 带有 "wrar39b4.exe" 模式, 以及 "http 方法" "获取" 的限定符。
   
   
   
7. 创建用于阻止应用程序的安全规则。
   
   
   
8. 监视通信日志中的新规则。
   
    

所有者︰ panagent