脆弱性署名の誤検知を送信する方法
78884
Created On 09/25/18 18:59 PM - Last Modified 05/31/23 19:01 PM
Symptom
脆弱性 良性のネットワーク トラフィックが脆弱性として識別され、脆弱性シグネチャをトリガーする場合の誤検知。
Environment
Cause
- トラフィックは、脆弱性の 1 つとして誤認される可能性があります。
Resolution
脆弱性シグニチャはネットワーク トラフィックに基づいているため、シグニチャが発火したときにネットワーク上で見られるデータに焦点が置かれ、誤検出であると疑われます。 以下を提供することが最も重要です。
- A完全なパケットを含む完全な復号化パケット キャプチャTCP/UDPトランザクションと署名をトリガーするまともなクローズが含まれています。
- 上のアプリケーションと脅威パッケージの現在のバージョンfirewall.
- 署名と脅威の名前-ID
- 脅威ログ。
復号化されたパケット キャプチャの理由?
- 復号化された pcap が必要です。A復号化された pcap を使用してラボ環境で再生し、問題を再現できます。また、復号化されたパケットはトラフィック パターンを示すこともできます。
- これは、次のようなさまざまな手段で行うことができます。firewallと復号化ポートのミラーリングまたはエンドポイント自体でウィンドウズとマックOS .
- スパイウェア シグネチャ タイプの場合、拡張パケット キャプチャで十分な場合もありますが、脆弱性シグネチャの場合は完全なパケット キャプチャが望ましいことに注意してください。
- ここですKB脆弱性シグネチャのカスタム パケット キャプチャについて説明している記事。
完全なパケット キャプチャを行う理由
- 脆弱性シグネチャの誤検知の調査には、お客様が提供するパケット キャプチャが必要です。 PaloAlto テクニカル サポートは、ラボでパケット キャプチャを再生することにより、問題を再現します。
- 完全なパケット キャプチャは、アラートが誤検出であるかどうかを判断する際の追加の「コンテキスト」も提供します。
- 特定の脅威シグネチャの拡張パケット キャプチャIDパケット キャプチャは問題のあるセッションの途中でキャプチャを開始するため、誤検知に対処するための理想的なソリューションではありません。 これにより、セッションの作成がないパケット キャプチャが発生します (SYN /SYN-ACK /ACK ) 修正しないと適切に再生できません。
手順
- 現在appおよび脅威のバージョン: から「システム情報を表示」の出力を収集します。CLIあなたのfirewall、または WebGUI のダッシュボードから「一般情報」ペインをコピーします。 それは現在を示しますapp脅威バージョン。
- 脅威ログ: 問題の再現方法を特定します。 これには、署名をトリガーするトラフィックを生成するホストまたはサーバーとの対話、または署名が定期的にトリガーされる共通のソース/宛先/時刻を特定する直接的ではない方法が含まれる場合があります。 これは、脅威ログで利用可能なデータを評価することで実現できます。 WebGUI > 監視 > 脅威に移動します。
- 問題のあるトラフィックの信頼できる送信元や送信先が特定されると、パケット キャプチャを作成できます。 これは、ネットワーク管理者が慣れているさまざまな方法で実行できます。
クライアント/サーバーでのホストベースのパケット キャプチャは、署名を生成する完全なセッションの作成とトラフィック (Wireshark およびTCPDUMPは 2 つの例です。)
からのパケット キャプチャPAN-OSアプライアンスも可能です! 完全なパケット キャプチャは、特定のトラフィックをフィルタリングすることで生成できます。ここですKB脆弱性シグネチャのカスタム パケット キャプチャについて説明している記事。に関する参照と支援については、PAN-OSパケット キャプチャ プロセスについては、こちらをご覧くださいこのリンク。 - 脅威-ID : 脅威を入力してくださいIDトリガーされる番号、およびトリガーされる脅威名。 または、トリガーの脅威ログのスクリーンショットでも十分です。
- シグニチャ トリガーが誤検知であると考えられる理由について、コンテキストを提供します。 いくつかの例は次のとおりです。
- 脆弱性シグネチャのターゲット オペレーティング システム/製品の説明が、環境で使用されている製品またはアプリケーションと一致しません。 たとえば、ネットワーク上で使用されていないことがわかっている (使用されていないことが確認されている) ベンダー名、オペレーティング システム、またはアプリケーションを指定する脆弱性シグネチャ トリガーを確認します。
- トラフィックは、報告される前に安全であることを確認するために内部で分析されました。
6. このデータがすべて収集され、サポート ケースに配置されると、パケット キャプチャを分析して、判定と可能な修正に到達できます。
Additional Information
の場合にはSSL/TLS暗号化されたトラフィック パケット キャプチャは復号化する必要があります。 これは、次のようなさまざまな手段で行うことができます。firewallと復号化ポートのミラーリングまたはエンドポイント自体でウィンドウズとマックOS .