Comment soumettre une signature de vulnérabilité faux positif

Comment soumettre une signature de vulnérabilité faux positif

78902
Created On 09/25/18 18:59 PM - Last Modified 05/31/23 19:01 PM


Symptom


Vulnérabilité Faux positifs lorsqu’un trafic réseau bénin est identifié comme une vulnérabilité et déclenche une signature de vulnérabilité.

Environment


  • Toutes les PAN-OS versions.

Cause


  • Le trafic peut être mal identifié comme l’une des vulnérabilités.

Resolution


Les signatures de vulnérabilité sont basées sur le trafic réseau, par conséquent, l’accent est mis sur les données qui sont vues sur le réseau lorsque la signature se déclenche, et il est soupçonné d’être un faux positif. Il est de la plus haute importance de fournir les éléments suivants:

  •  AUne capture complète de paquets décryptés qui inclut la transaction / complète TCPUDP et une clôture décente est incluse, ce qui déclenche la signature.
  • La version actuelle du package d’applications et de menaces sur votre firewall.
  • Le nom de la signature et de la menace-ID
  • Les journaux des menaces.

Pourquoi la capture de paquets déchiffrée ?

  • Nous avons besoin du pcap décrypté.  A PCAP décrypté peut être utilisé pour rejouer dans l’environnement de laboratoire pour reproduire le problème, aussi un paquet déchiffré peut également indiquer le modèle de trafic,
  • Cela peut être fait par divers moyens, tels que la firewall mise en miroir de ports de déchiffrement ou sur le point de terminaison lui-même sous Windows et MacOS.
  • Veuillez noter que pour le type de signature de logiciel espion, la capture de paquets étendue est parfois suffisante, mais pour la signature de vulnérabilité, une capture complète de paquets est préférable.
  • Voici un KB article qui explique la capture de paquets personnalisée pour la signature de vulnérabilité.

 

Pourquoi la capture complète des paquets ?

  • Les enquêtes faussement positives sur la signature de vulnérabilité ont besoin de la capture de paquets fournie par un client. PaloAlto support technique reproduit le problème en rejouant la capture de paquets dans le laboratoire.
  • La capture complète de paquets fournit également un «contexte» supplémentaire pour déterminer si l'alerte est un faux positif.
  • Les captures de paquets étendues pour une signature ID de menace spécifique ne sont pas une solution idéale pour traiter les faux positifs, car la capture de paquets commencera à être capturée au milieu d’une session incriminée. Cela se traduira par une capture de paquets qui manque de création de session (SYN / / SYN-ACK ) ACKqui ne peut pas être correctement rejouée sans être trafiquée.

Étapes

  1. Version actuelle app et version de la menace : collectez la sortie de « show system info » à partir de votre , ou copiez le volet « Informations générales » à partir CLI du tableau de bord de votre firewallWebGUI. Cela indiquera la version actuelle et la version de app menace.
  2. Journaux des menaces : identifiez une méthode de reproduction pour le problème. Cela peut impliquer une interaction avec l’hôte ou le serveur générant le trafic qui déclenche une signature ou des méthodes moins directes d’identification d’une source commune / destination / heure de la journée pour quand la signature se déclenche régulièrement. Pour ce faire, vous pouvez évaluer les données disponibles dans vos journaux de menaces. Aller à WebGUI > Monitor > menace.
  3. Une fois qu’une source fiable et/ou une destination du trafic injuré a été identifiée, la capture de paquets peut être créée. Cela peut être fait de plusieurs façons avec lesquelles un administrateur réseau est à l’aise:
    Les captures de paquets basées sur l’hôte sur le client / serveur sont acceptables, tant qu’elles incluent la création de session complète et le trafic qui génère la signature (Wireshark et TCPDUMP sont deux exemples.)
            La capture de paquets de l’appliance PAN-OS est également une possibilité! La capture complète de paquets peut être générée en filtrant le trafic spécifique, Voici un KB article qui explique la capture de paquets personnalisée pour la signature de vulnérabilité.Pour obtenir des références et de l’aide sur le processus de capture de PAN-OS paquets, veuillez consulter ce lien.
  4. Menace-ID: Veuillez fournir le numéro de la menace déclenchée et le nom de la menace ID déclenchée. Alternativement, une capture d’écran du journal des menaces du déclencheur suffira également.
  5. Fournir un contexte sur la raison pour laquelle on croit que le déclencheur de signature est un faux positif. Voici quelques exemples :
  • La description du système d’exploitation/produit cible dans la signature de vulnérabilité ne correspond pas à un produit ou à une application utilisé dans l’environnement. Par exemple, voir un déclencheur de signature de vulnérabilité qui spécifie un nom de fournisseur, un système d’exploitation ou une application dont on sait qu’il n’est pas utilisé sur le réseau (et dont il a été confirmé qu’il n’est pas utilisé).
  • Le trafic a été analysé à l’interne pour être sécuritaire avant d’être signalé.
6. Une fois que toutes ces données ont été collectées et placées dans le dossier de support, la capture de paquets peut être analysée et un verdict et une solution possible peuvent être atteints.

Additional Information


En cas de traficTLS / crypté, la capture de SSLpaquets doit être décryptée. Cela peut être fait par divers moyens, tels que la firewall mise en miroir de ports de déchiffrement ou sur le point de terminaison lui-même sous Windows et MacOS.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClSBCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language