另请参见: 提示和技巧: 自定义漏洞
大家好, 感谢您加入了关于如何创建自定义漏洞的视频。
在本视频中, 我将介绍如何创建一个特定的自定义漏洞, 显示我用来创建它的工具, 还可以在现场演示中显示如何在帕洛阿尔托网络防火墙上进行此行为。
如果您已经玩了创建自定义应用程序 ID, 您将看到在这个视频一些相似之处。 如果没有, 那么我建议您也观看该视频, 因为它讨论了一个不同的用例场景, 您可能会发现在您的特定环境中受益。
与自定义应用程序 ID 类似, 自定义漏洞是使用基于模式的签名来创建的, 而通信量与我们现有的任何漏洞都不匹配。
为了找出模式匹配, 我将使用像 WireShark 这样的数据包捕获工具。
在我的示例中, 假设您希望为使用 "Chrome" 浏览器浏览的用户创建自定义漏洞。
使用 WireShark, 您可以捕获此通信并搜索特定模式以正确识别此通信量。 在该示例中, 您将注意到可以使用以下模式:
铬
您可以在防火墙下的 "对象" 选项卡 >> 自定义对象 >> 漏洞中配置此项。
添加自定义漏洞后, 不要忘记在您的漏洞配置文件中启用它。 最后, 将您的漏洞配置文件添加到安全策略中, 并确保提交。
根据您配置的操作, 您将看到其相应的行为。
在该示例中, 我们选择了 "警报" 操作。 因此, 在使用 Chrome 浏览器浏览后, 我们看到了威胁日志中的漏洞日志。
下面是一些您可能会发现有用的相关文章的链接:
干杯!
-金