Consejos y trucos: Vulnerabilidad personalizado

Consejos y trucos: Vulnerabilidad personalizado

64916
Created On 09/25/18 18:59 PM - Last Modified 07/13/22 11:02 AM


Resolution


Ver también: video tutorial: vulnerabilidad personalizada

 

¿Quieres bloquear un tráfico muy específico? ¡ Las vulnerabilidades personalizadas pueden ayudar!

 

El cortafuegos de Palo Alto Networks admite firmas de vulnerabilidad personalizadas mediante el motor de amenazas del cortafuegos. Se pueden escribir patrones de expresiones regulares personalizados para identificar vulnerabilidades de debilidad. Los patrones de vulnerabilidad resultantes están disponibles para ser utilizados en perfiles de seguridad de vulnerabilidad. El cortafuegos busca los patrones definidos a la medida en el tráfico de red y toma la acción especificada para el exploit de vulnerabilidad.

 

Mediante la Página de firma de vulnerabilidad personalizada, puede definir firmas para perfiles de protección de vulnerabilidades.

 

En primer lugar, agregue el objeto de vulnerabilidad personalizado en la ficha objetos > objetos personalizados > vulnerabilidad como se muestra en el ejemplo:

Objeto de vulnerabilidad personalizado

 

Rellena la pestaña de configuración, como abajo. En este caso de uso, te mostraré cómo coincidir en una versión específica del navegador.

 

Los campos obligatorios son:

 

ID. de amenaza: identificador numérico. Para las firmas de vulnerabilidades, el rango es 41000-45000.

Nombre: especifique el nombre de la amenaza.

Severidad: asigne un nivel que indique la gravedad de la amenaza.

Dirección: indique si la amenaza se evalúa desde el cliente al servidor, el servidor al cliente o ambos.

 

Firma de vulnerabilidad personalizada

 

  1. Vaya a la ficha firmas para agregar una firma.  
  2. Seleccione el botón de radio estándar y haga clic en agregar:

 

firma de vulnerabilidad personalizada

 

En la ventana estándar, complete lo siguiente:

 

  1. Estándar: rellena el nombre deseado para identificar la firma.
  2. Comentario: aquí puedes añadir una descripción opcional.
  3. Ámbito deaplicación: aquí puede seleccionar si aplicar esta firma sólo a la transacción actual o a la sesión de usuario completa.  En este ejemplo, vamos a ir con la transacción.
  4. Coincidencia de condición ordenada: seleccione si es importante el orden en el que se definen las condiciones de la firma.
  5. Agregar o condición: agregar y especificar condiciones para definir firmas.

 

estándar

 

En la siguiente ventana, especificaremos su coincidencia de firma.

 

Operador: define el tipo de condición que debe ser true para que la firma personalizada coincida con el tráfico. Elija entre operadores de coincidencia de menos de, igual a, mayor queo patrón .

 

Al elegir un operador de coincidencia de patrones , especifique que lo siguiente es válido para que la firma coincida con el tráfico:

  • Contexto : Seleccione de los contextos disponibles.
  • Patrón : especifique una expresión regular
  • Calificador y valor : opcionalmente, agregue pares calificador/valor
  • Negar : Active la casilla de verificación negar para que la firma personalizada coincida con el tráfico sólo cuando la condición de coincidencia de patrón definida no es verdadera. Esto le permite asegurarse de que la firma personalizada no se desencadena bajo ciertas condiciones

En este ejemplo, buscaremos la coincidencia de patrón ' chrome/' en el campo de contexto ' http-req-headers ' como se muestra en el ejemplo siguiente:

 

O condición

 

¿Por qué emparejar en Chrome/?

 

Si usted toma una captura de paquete mientras navega usando un navegador Chrome, usted encontrará el siguiente patrón de coincidencia en la captura:

 

 

Pcap

 

Haga clic en Aceptar para crear su vulnerabilidad personalizada:

 

Perfil de vulnerabilidad personalizado

 

¡ Tenga en cuenta que la firma personalizada no se activará de forma predeterminada!

 

Para habilitar la firma personalizada, vaya al Perfil de seguridad de protección de vulnerabilidades.  Edita tu perfil y en la pestaña ' excepciones ', busca el ID de la amenaza y habilitalo:

 

habilitar firma personalizada

 

No olvide aplicar este perfil de seguridad a su política de seguridad:

 

política de seguridad

 

Después de cometer este cambio, obtendrá mensajes de alerta en el registro de amenazas cuando esté navegando usando un navegador Chrome.  Por supuesto, el tráfico se puede bloquear si se selecciona para hacerlo en su acción:

 

registro de amenazas

 

Asegúrate de echar un vistazo al tutorial de vídeo sobre vulnerabilidad personalizada en https://Live.paloaltonetworks.com/T5/Featured-Articles/video-tutorial-Custom-Vulnerability/TA-p/72355

 

A continuación se muestran algunos enlaces adicionales con otros casos de uso e información útil:

 

Firma de vulnerabilidad personalizada para detectar el modo activo FTP

Firma de vulnerabilidad personalizada para identificar WindowsXP

Lista de diferentes cadenas de usuario-agente

 

Gracias,

Kim
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClSOCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language