Tipps & Tricks: Benutzerdefinierte Anfälligkeit

Tipps & Tricks: Benutzerdefinierte Anfälligkeit

64930
Created On 09/25/18 18:59 PM - Last Modified 07/13/22 11:02 AM


Resolution


Siehe auch: Video-Tutorial: Benutzer definierte Verwundbarkeit

 

Möchten Sie einen ganz bestimmten Verkehr blockieren? Individuelle Verwundbarkeiten können helfen!

 

Die Palo Alto Networks Firewall unterstützt kundenspezifische Verwundbarkeits Unterschriften mit der Bedrohungs Maschine der Firewall. Sie können maßgeschneiderte reguläre Ausdrucksmuster schreiben, um Verwundbarkeits Exploits zu identifizieren. Die daraus resultierenden Schwachstellen Muster werden für den Einsatz in Sicherheits Profilen der Verwundbarkeit verfügbar. Die Firewall sucht nach den individuell definierten Mustern im Netzwerkverkehr und nimmt die angegebene Aktion für den Verwundbarkeits Exploit auf.

 

Mit der benutzerDefinierten Verwundbarkeits Unterschriften Seite können Sie Signaturen für Schwachstellen Schutz profile definieren.

 

Fügen Sie zunächst das BenutzerDefinierte Verwundbarkeits Objekt auf der Registerkarte Objekte > BenutzerDefinierte Objekte > Verwundbarkeit hinzu, wie im Beispiel gezeigt:

Individuelles Verwundbarkeits Objekt

 

Füllen Sie den Reiter Konfiguration aus, wie unten. In diesem Anwendungsfall zeige ich Ihnen, wie Sie auf einer bestimmten Browser-Version übereinstimmen.

 

Pflichtfelder sind:

 

Bedrohungs Ausweis: eine numerische Kennung. Bei Verwundbarkeits Unterschriften beträgt die Reichweite 41000-45000.

Name: Geben Sie den Bedrohungs Namen an.

Schwere: weisen Sie ein Niveau zu, das die Schwere der Bedrohung anzeigt.

Richtung: Geben Sie an, ob die Bedrohung vom Client auf Server, Server zu Client oder beides beurteilt wird.

 

BenutzerDefinierte Verwundbarkeit

 

  1. Gehen Sie zum Tab Signaturen, um eine Signatur hinzuzufügen.  
  2. Wählen Sie den Standard-funkknopf und klicken Sie auf HinzuFügen:

 

benutzerdefinierte Verwundbarkeit

 

Im Standard Fenster füllen Sie Folgendes aus:

 

  1. Standard: füllen Sie den gewünschten Namen aus, um die Signatur zu identifizieren.
  2. Kommentar: Hier können Sie eine optionale Beschreibung hinzufügen.
  3. Scope: Hier können Sie auswählen, ob Sie diese Signatur nur auf die aktuelle Transaktion oder auf die vollständige Benutzersitzung anwenden möchten.  In diesem Beispiel werden wir mit der Transaktion gehen.
  4. Bestellte Zustands ÜbereinStimmung: Wählen Sie aus, ob die Reihenfolge, in der die Unterschriften Bedingungen definiert sind, wichtig ist.
  5. HinzuFügen oder Bedingung: Bedingungen hinzufügen und angeben, um Signaturen zu definieren.

 

Standard

 

Im nächsten Fenster werden wir Ihr Signatur-Match angeben.

 

Operator: definiert die Art der Bedingung, die für die benutzerdefinierte Signatur gelten muss, um dem Verkehr zu entsprechen. Wählen Sie aus weniger als, gleich, größer alsoder Muster-Match- Operatoren.

 

Bei der Auswahl eines Pattern-Match- Betreibers, geben Sie für das folgende für die Signatur, um den Verkehr zu entsprechen:

  • Kontext : Wählen Sie aus den verfügbaren Kontexten.
  • Muster : Geben Sie einen regulären Ausdruck
  • Qualifikant und Wert : optional, Qualifikant/value-Paare hinzufügen
  • Negate : Wählen Sie das Negate-Kontrollkästchen, so dass die benutzerdefinierte Signatur nur dann zum Datenverkehr passt, wenn das definierte Muster der Bedingung nicht zutrifft. Damit können Sie sicherstellen, dass die kundenspezifische Signatur unter bestimmten Bedingungen nicht ausgelöst wird

In diesem Beispiel werden wir nach dem Muster Match ' Chrome/' im Kontext Feld ' http-req-Headers ' suchen, wie im Beispiel unten gezeigt:

 

Oder Zustand

 

Warum Match auf Chrome/?

 

Wenn Sie beim Surfen mit einem Chrome-Browser eine Paket Aufnahme machen, finden Sie in der Aufnahme folgendes Muster-Match:

 

 

Pcap

 

Klicken Sie auf OK, um Ihre individuelle Verwundbarkeit zu erstellen:

 

individuelles Schwachstellen Profil

 

Beachten Sie, dass die benutzerdefinierte Signatur standardmäßig nicht aktiviert ist!

 

Um Ihre individuelle Signatur zu aktivieren, müssen Sie das Sicherheitsprofil für die Verwundbarkeit schützen.  Bearbeiten Sie Ihr Profil und auf der Registerkarte "Ausnahmen", suchen Sie nach der Bedrohungs Nummer und aktivieren Sie Sie:

 

individuelle Signatur aktivieren

 

Vergessen Sie nicht, dieses SicherheitsProfil auf Ihre SicherheitsRichtlinien anzuwenden:

 

Sicherheitspolitik

 

Nachdem Sie diese Änderung begangen haben, erhalten Sie Warnmeldungen in Ihrem Bedrohungs Protokoll, wenn Sie mit einem Chrome-Browser Surfen.  Natürlich kann der Verkehr gesperrt werden, wenn Sie sich dafür in ihrer Aktion aussuchen:

 

Bedrohungs Protokoll

 

Werfen Sie einen Blick auf das Video- Tutorial zur Custom-Verwundbarkeit unter https://Live.paloaltonetworks.com/T5/Featured-Articles/Video-Tutorial-Custom-Vulnerability/Ta-p/72355

 

Im folgenden finden Sie einige zusätzliche Links zu anderen Anwendungsfällen und nützliche Informationen:

 

BenutzerDefinierte Verwundbarkeits Unterschrift zur Erkennung von FTP-aktiv

BenutzerDefinierte Verwundbarkeits Unterschrift zur Identifizierung von WindowsXP

Liste der verschiedenen User-Agent-Strings

 

Vielen Dank,

Kim
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClSOCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language