如何提交漏洞签名误报
78894
Created On 09/25/18 18:59 PM - Last Modified 05/31/23 19:01 PM
Symptom
当良性网络流量被识别为漏洞并触发漏洞签名时,漏洞误报。
Environment
Cause
Resolution
漏洞签名基于网络流量,因此重点关注签名触发时通过网络看到的数据,怀疑是误报。 提供以下内容至关重要:
- A完整的解密数据包捕获,包括完整的TCP/UDP包括触发签名的交易和体面的关闭。
- 您的应用程序和威胁包的当前版本firewall.
- 签名和威胁的名称-ID
- 威胁日志。
为什么解密抓包?
- 我们需要解密的 pcap。A解密的 pcap 可用于在实验室环境中重放以重现问题,解密的数据包也可以指示流量模式,
- 这可以通过多种方式完成,例如通过firewall和解密端口镜像或者在端点本身上视窗和苹果系统.
- 请注意,对于间谍软件签名类型,有时扩展数据包捕获就足够了,但对于漏洞签名,完整的数据包捕获更可取。
- 这里是一个KB解释漏洞签名的自定义数据包捕获的文章。
为什么要完成抓包?
- 漏洞签名误报调查需要客户提供的抓包。 PaloAlto 技术支持通过在实验室中重播数据包捕获来重现该问题。
- 在确定警报是否为误报时,完整的数据包捕获还提供了额外的“上下文”。
- 针对特定威胁签名的扩展数据包捕获ID不是解决误报的理想解决方案,因为数据包捕获将在有问题的会话中途开始捕获。 这将导致缺少会话创建的数据包捕获(SYN /SYN-ACK /ACK ) 未经篡改无法正确重放。
脚步
- 当前的app和威胁版本:从中收集“显示系统信息”的输出CLI你的firewall,或从 WebGUI 的仪表板复制“一般信息”窗格。 这将指示当前app和威胁版本。
- 威胁日志:确定问题的重现方法。 这可能涉及与生成触发签名的流量的主机或服务器的交互,或者使用不太直接的方法来识别签名定期触发的公共源/目的地/一天中的时间。 这可以通过评估威胁日志中可用的数据来完成。 转到 WebGUI > 监控 > 威胁。
- 一旦确定了违规流量的可靠来源和/或目的地,就可以创建数据包捕获。 这可以通过网络管理员熟悉的多种方式完成:
客户端/服务器上基于主机的数据包捕获很好,只要它们包括完整的会话创建和生成签名的流量(Wireshark 和TCPDUMP是两个例子。)
数据包捕获从PAN-OS家电也是可能的! 可以通过过滤特定流量来生成完整的数据包捕获,这里是一个KB解释漏洞签名的自定义数据包捕获的文章。供参考和协助PAN-OS抓包流程,请看这个链接。 - 威胁-ID : 请提供威胁ID被触发的编号,以及被触发的威胁名称。 或者,触发器的威胁日志屏幕截图也足够了。
- 提供关于为什么认为签名触发器是误报的上下文。 一些示例可能包括:
- 漏洞签名中对目标操作系统/产品的描述与环境中使用的产品或应用程序不匹配。 例如,看到一个漏洞签名触发器,它指定了已知的网络上未使用的供应商名称、操作系统或应用程序(并且已确认未使用)。
- 在报告之前,内部分析流量是安全的。
6. 一旦收集了所有这些数据并将其放入支持案例中,就可以分析数据包捕获并得出结论和可能的修复。
Additional Information
在的情况下SSL/TLS数据包捕获需要解密的加密流量。 这可以通过多种方式完成,例如通过firewall和解密端口镜像或者在端点本身上视窗和苹果系统.