Cómo presentar un falso positivo de firma de vulnerabilidad

Cómo presentar un falso positivo de firma de vulnerabilidad

78898
Created On 09/25/18 18:59 PM - Last Modified 05/31/23 19:01 PM


Symptom


Vulnerabilidad Falsos positivos cuando el tráfico de red benigno se identifica como una vulnerabilidad y desencadena una firma de vulnerabilidad.

Environment


  • Toda PAN-OS la versión.

Cause


  • El tráfico se puede identificar erróneamente como una de las vulnerabilidades.

Resolution


Las firmas de vulnerabilidad se basan en el tráfico de red, por lo tanto, la atención se centra en los datos que se ven a través de la red cuando se activa la firma, y se sospecha que es un falso positivo. Es de suma importancia proporcionar lo siguiente:

  •  A Se incluye una captura completa de paquetes descifrados que incluye la transacción completa TCP/UDP y un cierre decente que activa la firma.
  • La versión actual del paquete de aplicaciones y amenazas en su firewallarchivo .
  • El nombre de la firma y la amenaza-ID
  • Los registros de amenazas.

¿Por qué la captura de paquetes descifrados?

  • Necesitamos el pcap descifrado.  A El PCAP descifrado se puede usar para reproducirse en el entorno de laboratorio para reproducir el problema, también un paquete descifrado también puede indicar el patrón de tráfico,
  • Esto se puede hacer a través de una variedad de medios, como a través de Decryption firewall Port Mirroring o en el propio punto final en Windows y MacOS.
  • Tenga en cuenta que para el tipo de firma de spyware a veces la captura de paquetes extendida es suficiente, sin embargo, para la firma de vulnerabilidad es preferible una captura de paquete completa.
  • Aquí hay un KB artículo que explica la captura de paquetes personalizados para la firma de vulnerabilidad.

 

¿Por qué completar la captura de paquetes?

  • Las investigaciones falsas positivas de la firma de vulnerabilidad necesitan la captura de paquetes proporcionada por un cliente. El soporte técnico de PaloAlto reproduce el problema reproduciendo la captura de paquetes en el laboratorio.
  • La captura completa de paquetes también proporciona un ' contexto ' adicional al determinar si la alerta es un falso positivo.
  • Las capturas de paquetes extendidas para una firma ID de amenaza específica no son una solución ideal para abordar el falso positivo, ya que la captura de paquetes comenzará a capturarse a mitad de una sesión ofensiva. Esto dará como resultado una captura de paquetes que carece de creación de sesión (SYN / / ACKSYN-ACK ) que no se puede reproducir correctamente sin ser manipulada.

Pasos

  1. Versión actual app y de amenaza: Recopile la salida de "mostrar información del sistema" de su CLI firewall, o copie el panel "Información general" del panel de control de su WebGUI. Eso indicará la versión actual app y la amenaza.
  2. Registros de amenazas: identifique un método de reproducción para el problema. Esto puede implicar la interacción con el host o el servidor que genera el tráfico que desencadena una firma o métodos menos directos para identificar un origen/destino/hora del día común para cuando la firma se desencadena regularmente. Esto se puede lograr evaluando los datos disponibles en los registros de amenazas. Ir a WebGUI > monitor > amenaza.
  3. Una vez que se ha identificado una fuente y/o destino confiable del tráfico ofensivo, se puede crear la captura de paquetes. Esto se puede hacer de muchas maneras con las que un administrador de red se sienta cómodo:
    Las capturas de paquetes basadas en host en el cliente / servidor están bien, siempre y cuando incluyan la creación de la sesión completa y el tráfico que genera la firma (Wireshark y TCPDUMP son dos ejemplos).
            ¡La captura de paquetes desde el PAN-OS dispositivo también es una posibilidad! La captura completa de paquetes se puede generar filtrando el tráfico específico, Aquí hay un KB artículo que explica la captura de paquetes personalizados para la firma de vulnerabilidad.Para obtener referencia y asistencia sobre el proceso de captura de PAN-OS paquetes, consulte este enlace.
  4. Amenaza-ID: Proporcione el número de amenaza que se activa y el nombre de la amenaza ID que se activa. Alternativamente, una captura de pantalla del registro de amenazas del desencadenante también será suficiente.
  5. Proporcione contexto sobre por qué se cree que el desencadenador de firma es un falso positivo. Algunos ejemplos pueden incluir:
  • La descripción del sistema operativo/producto de destino en la firma de vulnerabilidad no coincide con un producto o aplicación en uso en el entorno. Por ejemplo, ver un desencadenador de firma de vulnerabilidad que especifica un nombre de proveedor, sistema operativo o aplicación que se sabe que no está en uso en la red (y se ha confirmado que no está en uso).
  • El tráfico fue analizado internamente para estar seguro antes de ser reportado.
6. Una vez que todos estos datos se han recopilado y colocado en el caso de soporte, se puede analizar la captura de paquetes y se puede llegar a un veredicto y una posible solución.

Additional Information


En el caso de tráficoTLS / cifrado, la captura de SSLpaquetes debe descifrarse. Esto se puede hacer a través de una variedad de medios, como a través de Decryption firewall Port Mirroring o en el propio punto final en Windows y MacOS.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClSBCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language