如何提交漏洞签名误报

漏洞签名基于网络流量，因此重点关注签名触发时通过网络看到的数据，怀疑是误报。 提供以下内容至关重要：

• A完整的解密数据包捕获，包括完整的TCP/UDP包括触发签名的交易和体面的关闭。
• 您的应用程序和威胁包的当前版本firewall.
• 签名和威胁的名称-ID
• 威胁日志。

为什么解密抓包？

• 我们需要解密的 pcap。A解密的 pcap 可用于在实验室环境中重放以重现问题，解密的数据包也可以指示流量模式，
• 这可以通过多种方式完成，例如通过firewall和解密端口镜像或者在端点本身上视窗和苹果系统.
• 请注意，对于间谍软件签名类型，有时扩展数据包捕获就足够了，但对于漏洞签名，完整的数据包捕获更可取。
• 这里是一个KB解释漏洞签名的自定义数据包捕获的文章。

为什么要完成抓包？

• 漏洞签名误报调查需要客户提供的抓包。 PaloAlto 技术支持通过在实验室中重播数据包捕获来重现该问题。
• 在确定警报是否为误报时，完整的数据包捕获还提供了额外的“上下文”。
• 针对特定威胁签名的扩展数据包捕获ID不是解决误报的理想解决方案，因为数据包捕获将在有问题的会话中途开始捕获。 这将导致缺少会话创建的数据包捕获（SYN /SYN-ACK /ACK ) 未经篡改无法正确重放。

脚步

1. 当前的app和威胁版本：从中收集“显示系统信息”的输出CLI你的firewall，或从 WebGUI 的仪表板复制“一般信息”窗格。 这将指示当前app和威胁版本。
2. 威胁日志：确定问题的重现方法。 这可能涉及与生成触发签名的流量的主机或服务器的交互，或者使用不太直接的方法来识别签名定期触发的公共源/目的地/一天中的时间。 这可以通过评估威胁日志中可用的数据来完成。 转到 WebGUI > 监控 > 威胁。
3. 一旦确定了违规流量的可靠来源和/或目的地，就可以创建数据包捕获。 这可以通过网络管理员熟悉的多种方式完成：
   客户端/服务器上基于主机的数据包捕获很好，只要它们包括完整的会话创建和生成签名的流量（Wireshark 和TCPDUMP是两个例子。）
   数据包捕获从PAN-OS家电也是可能的！ 可以通过过滤特定流量来生成完整的数据包捕获，这里是一个KB解释漏洞签名的自定义数据包捕获的文章。供参考和协助PAN-OS抓包流程，请看这个链接。
4. 威胁-ID : 请提供威胁ID被触发的编号，以及被触发的威胁名称。 或者，触发器的威胁日志屏幕截图也足够了。
5. 提供关于为什么认为签名触发器是误报的上下文。 一些示例可能包括：

• 漏洞签名中对目标操作系统/产品的描述与环境中使用的产品或应用程序不匹配。 例如，看到一个漏洞签名触发器，它指定了已知的网络上未使用的供应商名称、操作系统或应用程序（并且已确认未使用）。
• 在报告之前，内部分析流量是安全的。