Conseils & astuces : Vulnérabilité personnalisée

Conseils & astuces : Vulnérabilité personnalisée

64912
Created On 09/25/18 18:59 PM - Last Modified 07/13/22 11:02 AM


Resolution


Voir aussi: didacticiel vidéo: vulnérabilité personnalisée

 

Vous voulez bloquer un trafic très spécifique? Les vulnérabilités personnalisées peuvent vous aider!

 

Le pare-feu Palo Alto Networks prend en charge les signatures de vulnérabilité personnalisées en utilisant le moteur de menace du pare-feu Vous pouvez écrire des modèles d'expressions régulières personnalisées pour identifier les exploits de vulnérabilité. Les modèles de vulnérabilité résultants deviennent disponibles pour une utilisation dans les profils de sécurité de vulnérabilité. Le pare-feu recherche les modèles personnalisés dans le trafic réseau et prend l'action spécifiée pour l'exploit de vulnérabilité.

 

À l'Aide de la page de signatures de vulnérabilité personnalisée, vous pouvez définir des signatures pour les profils de protection de vulnérabilité.

 

Tout d'Abord, ajoutez l'Objet de vulnérabilité personnalisé à l'onglet objets > objets personnalisés > vulnérabilité comme indiqué dans L'exemple:

Objet de vulnérabilité personnalisé

 

Remplissez l'onglet configuration, comme ci-dessous. Dans ce cas d'utilisation, je vais vous montrer comment faire correspondre sur une version du navigateur spécifique.

 

Les champs obligatoires sont:

 

IDde la menace: identificateur numérique. Pour les signatures de vulnérabilité, la plage est 41000-45000.

Nom: spécifiez le nom de la menace.

Gravité: attribuez un niveau indiquant la gravité de la menace.

Direction: indiquez si la menace est évaluée du client au serveur, du serveur au client ou des deux.

 

Signature de vulnérabilité personnalisée

 

  1. Accédez à l'onglet signatures pour ajouter une signature.  
  2. Sélectionnez la case d'option standard et cliquez sur Ajouter:

 

signature de vulnérabilité personnalisée

 

Dans la fenêtre standard, effectuez les opérations suivantes:

 

  1. Standard: Remplissez le nom désiré pour identifier la signature.
  2. Commentaire: ici vous pouvez ajouter une description facultative.
  3. Champ d'Application: ici, vous pouvez choisir d'appliquer cette signature uniquement à la transaction en cours ou à la session utilisateur complète.  Dans cet exemple, nous irons avec transaction.
  4. Condition ordonnée match: sélectionnez si l'ordre dans lequel les conditions de signature sont définies est important.
  5. Ajouter ou condition: ajouter et spécifier des conditions pour définir des signatures.

 

norme

 

Dans la fenêtre suivante, nous allons spécifier votre correspondance de signature.

 

Operator: définit le type de condition qui doit être true pour que la signature personnalisée corresponde au trafic. Choisissez parmi les opérateurs de correspondance inférieure à, égale à, supérieureou de modèle .

 

Lorsque vous choisissez un opérateur de correspondance de modèle, spécifiez que la valeur suivante est true pour que la signature corresponde au trafic:

  • Contexte : sélectionnez dans les contextes disponibles.
  • Pattern : spécifiez une expression régulière
  • Qualificateur et valeur : facultativement, ajouter des paires qualificateur/valeur
  • Annuler : activez la case à cocher annuler pour que la signature personnalisée corresponde au trafic uniquement lorsque la condition de correspondance de modèle définie n'est pas true. Cela vous permet de vous assurer que la signature personnalisée n'est pas déclenchée dans certaines conditions

Dans cet exemple, nous allons Rechercher la correspondance de modèle'Chrome/'dans le champ de contexte'http-req-headers'comme indiqué dans L'exemple ci-dessous:

 

Ou la condition

 

Pourquoi match sur chrome/?

 

Si vous prenez une capture de paquets lors de la navigation à l'Aide d'un navigateur Chrome, vous trouverez le modèle suivant match dans la capture:

 

 

Pcap

 

Cliquez sur OK pour créer votre vulnérabilité personnalisée:

 

Profil de vulnérabilité personnalisé

 

Notez que la signature personnalisée ne sera pas activée par défaut!

 

Pour activer votre signature personnalisée, goto le profil de sécurité de la protection de vulnérabilité.  Modifiez votre profil et sous l'onglet «exceptions», recherchez l'ID de la menace et activez-le:

 

activer la signature personnalisée

 

N'oubliez pas d'appliquer ce profil de sécurité à votre stratégie de sécurité:

 

politique de sécurité

 

Après avoir commis cette modification, vous obtiendrez des messages d'alerte dans votre journal des menaces lorsque vous naviguez à l'Aide d'un navigateur Chrome.  Bien sûr, le trafic peut être bloqué si vous sélectionnez de le faire dans votre action:

 

Journal des menaces

 

N'oubliez pas de jeter un oeil à la vidéo tutoriel sur la vulnérabilité personnalisée à https://Live.paloaltonetworks.com/T5/featured-Articles/Video-Tutorial-Custom-Vulnerability/ta-p/72355

 

Voici quelques liens supplémentaires avec d'autres cas d'utilisation et des informations utiles:

 

Signature de vulnérabilité personnalisée pour détecter le mode actif FTP

Signature de vulnérabilité personnalisée pour l'identification de WindowsXP

Liste des différentes chaînes utilisateur-agent

 

Merci,

Kim
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClSOCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language