Wie man eine Verwundbarkeit Signatur falsch positiv

Wie man eine Verwundbarkeit Signatur falsch positiv

78892
Created On 09/25/18 18:59 PM - Last Modified 05/31/23 19:01 PM


Symptom


Schwachstelle False Positives tritt auf, wenn gutartiger Netzwerkverkehr als Schwachstelle identifiziert wird und eine Schwachstellensignatur auslöst.

Environment


  • Alle PAN-OS Versionen.

Cause


  • Datenverkehr kann fälschlicherweise als eine der Sicherheitsanfälligkeiten identifiziert werden.

Resolution


Schwachstellensignaturen basieren auf dem Netzwerkverkehr, daher liegt der Fokus auf den Daten, die über das Netzwerk angezeigt werden, wenn die Signatur ausgelöst wird, und es wird vermutet, dass es sich um ein False Positive handelt. Es ist von größter Wichtigkeit, Folgendes bereitzustellen:

  •  AVollständige entschlüsselte Paketerfassung, die die vollständige TCPUDP / Transaktion enthält, und ein anständiger Abschluss, der die Signatur auslöst.
  • Die aktuelle Version des Anwendungs- und Bedrohungspakets auf Ihrer firewall.
  • Der Name der Unterschrift und der Drohung-ID
  • Die Bedrohungsprotokolle.

Warum entschlüsselte Paketerfassung?

  • Wir brauchen das entschlüsselte pcap.  A Entschlüsseltes PCAP kann verwendet werden, um in der Laborumgebung wiedergegeben zu werden, um das Problem zu reproduzieren, auch ein entschlüsseltes Paket kann das Verkehrsmuster anzeigen.
  • Dies kann auf verschiedene Weise erfolgen, z. B. durch die firewall Entschlüsselung Port Mirroring oder auf dem Endpunkt selbst unter Windows und MacOS.
  • Bitte beachten Sie, dass für den Spyware-Signaturtyp manchmal die erweiterte Paketerfassung ausreicht, für die Schwachstellensignatur jedoch eine vollständige Paketerfassung vorzuziehen ist.
  • Hier ist ein KB Artikel, der die benutzerdefinierte Paketerfassung für die Schwachstellensignatur erklärt.

 

Warum vollständige Paketerfassung?

  • Falsch positive Untersuchungen mit der Sicherheitslückensignatur benötigen die von einem Kunden bereitgestellte Paketerfassung. Der technische Support von PaloAlto reproduziert das Problem, indem er die Paketerfassung im Labor wiedergibt.
  • Die komplette Paket Erfassung bietet auch zusätzlichen "Kontext" bei der Bestimmung, ob die Alarmierung ein falsches positiv ist.
  • Die erweiterte Paketerfassung für eine bestimmte Bedrohungssignatur ID ist keine ideale Lösung, um das Fehlalarm zu beheben, da die Paketerfassung mitten in einer fehlerhaften Sitzung mit der Erfassung beginnt. Dies führt zu einer Paketerfassung, bei der die Sitzungserstellung (SYN / / SYN-ACK ACK) fehlt, die nicht ordnungsgemäß wiedergegeben werden kann, ohne bearbeitet zu werden.

Schritte

  1. Aktuelle app und bedrohliche Version: Erfassen Sie die Ausgabe von "Systeminformationen anzeigen" aus Ihrem firewallCLI oder kopieren Sie den Bereich "Allgemeine Informationen" aus dem Dashboard Ihrer WebGUI. Dadurch wird die aktuelle app Version und die Bedrohungsversion angezeigt.
  2. Bedrohungsprotokolle: Identifizieren Sie eine Reproduktionsmethode für das Problem. Dies kann eine Interaktion mit dem Host oder Server umfassen, der den Datenverkehr generiert, der eine Signatur auslöst, oder weniger direkte Methoden zum Identifizieren einer gemeinsamen Quelle/Ziel/Tageszeit, für die die Signatur regelmäßig ausgelöst wird. Dies kann erreicht werden, indem die in Ihren Bedrohungsprotokollen verfügbaren Daten ausgewertet werden. Gehen Sie zu WebGUI > Monitor > Bedrohung.
  3. Sobald eine zuverlässige Quelle und/oder ein Ziel des beleidigenden Datenverkehrs identifiziert wurde, kann die Paketerfassung erstellt werden. Dies kann auf verschiedene Arten erfolgen, mit denen ein Netzwerkadministrator vertraut ist:
    Host-basierte Paketerfassungen auf dem Client/Server sind in Ordnung, solange sie die vollständige Sitzungserstellung und den Datenverkehr enthalten, der die Signatur generiert (Wireshark und TCPDUMP sind zwei Beispiele).
            Paketerfassung von der PAN-OS Appliance ist ebenfalls möglich! Die vollständige Paketerfassung kann durch Filtern des spezifischen Datenverkehrs generiert werden. Hier ist ein KB Artikel, der die benutzerdefinierte Paketerfassung für die Schwachstellensignatur erklärt.Referenzen und Unterstützung beim PAN-OS Paketerfassungsprozess finden Sie unter diesem Link.
  4. Bedrohung:ID Bitte geben Sie die ID Bedrohungsnummer und den Namen der ausgelösten Bedrohung an. Alternativ reicht auch ein Screenshot des Auslösers im Bedrohungsprotokoll aus.
  5. Geben Sie einen Kontext, warum man glaubt, dass der Signatur-Auslöser ein falsches positiv ist. Einige Beispiele könnten sein:
  • Die Beschreibung des Zielbetriebssystems/-produkts in der Verwundbarkeitssignatur stimmt nicht mit einem Produkt oder einer Anwendung überein, die in der Umgebung verwendet werden. Beispielsweise wird ein Auslöser für die Schwachstellensignatur angezeigt, der einen Herstellernamen, ein Betriebssystem oder eine Anwendung angibt, von der bekannt ist, dass sie im Netzwerk nicht verwendet wird (und als nicht verwendet bestätigt wurde).
  • Der Verkehr wurde intern analysiert, um sicher zu sein, bevor er gemeldet wurde.
6. Sobald alle diese Daten gesammelt und in den Support-Fall eingefügt wurden, kann die Paketerfassung analysiert und ein Urteil und eine mögliche Lösung erreicht werden.

Additional Information


Im Falle von SSL/TLS verschlüsseltem Datenverkehr muss die Paketerfassung entschlüsselt werden. Dies kann auf verschiedene Weise erfolgen, z. B. durch die firewall Entschlüsselung Port Mirroring oder auf dem Endpunkt selbst unter Windows und MacOS.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClSBCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language