提示与技巧: 自定义漏洞
Resolution
另请参见: 视频教程: 自定义漏洞
要阻止某些特定的通信量吗?自定义漏洞可以帮助!
帕洛阿尔托网络防火墙使用防火墙的威胁引擎支持自定义漏洞签名。您可以编写自定义正则表达式模式来识别漏洞攻击。由此产生的漏洞模式可在漏洞安全配置文件中使用。防火墙在网络通信中查找自定义定义的模式, 并为漏洞攻击采取指定的操作。
使用 "自定义漏洞签名"页, 可以为漏洞保护配置文件定义签名.
首先, 在 "对象" 选项卡 >> 自定义对象 >> 漏洞中添加自定义漏洞对象, 如示例中所示:
填写 "配置" 选项卡, 如下所示。在这个用例中, 我将向您展示如何匹配特定的浏览器版本。
必填字段为:
威胁 ID: 数字标识符. 对于漏洞签名, 范围为41000-45000。
名称: 指定威胁名称.
严重性: 指定指示威胁严重性的级别.
方向: 指示威胁是从客户端评估到服务器、服务器还是客户端, 还是两者兼而有之.
- 转到 "签名" 选项卡以添加签名。
- 选择标准单选按钮, 然后单击 "添加":
在 "标准" 窗口中, 完成以下操作:
- 标准: 填写所需名称以标识签名.
- 注释: 在这里您可以添加一个可选的描述.
- 范围: 在这里, 您可以选择是否只将此签名应用于当前事务或完全用户会话. 在这个例子中, 我们将与事务一起去。
- 有序条件匹配: 选择是否定义签名条件的顺序很重要.
- 添加或条件: 添加和指定定义签名的条件.
在下一个窗口中, 我们将指定您的签名匹配。
运算符: 定义与通信量匹配的自定义签名必须为 true 的条件类型。从小于、等于、大于或模式匹配运算符 中选择。
在选择模式匹配运算符时, 请指定以下内容为 true, 以便签名与通信量匹配:
- 上下文:从可用上下文中进行选择.
- 模式: 指定正则表达式
- 限定符和值: 可以选择添加限定符/值对
- 否定:选中 "否定" 复选框, 使自定义签名仅在定义的模式匹配条件不正确时才匹配通信. 这使您可以确保自定义签名不是在特定条件下触发的。
在本示例中, 我们将在上下文字段 "http-需要" 标头中查找模式匹配 "Chrome/", 如下面的示例所示:
为什么要搭配 Chrome/?
如果在使用 Chrome 浏览器浏览时进行了数据包捕获, 则在捕获中会发现以下模式匹配:
单击 "确定" 以创建自定义漏洞:
请注意, 默认情况下将不启用自定义签名!
要启用自定义签名, 请转到 "漏洞保护" 安全配置文件. 编辑您的配置文件和 "例外" 选项卡, 搜索威胁 ID 并启用它:
不要忘记将此安全配置文件应用于您的安全策略:
提交此更改后, 当您使用 Chrome 浏览器浏览时, 您将在威胁日志中获得警报消息。 当然, 如果您在操作中选择这样做, 则可以阻止通信量:
请务必在 https://live.paloaltonetworks.com/t5/Featured-Articles/Video-Tutorial-Custom-Vulnerability/ta-p/72355 上查看有关自定义漏洞的视频教程。
下面是一些与其他用例和有用信息相关的附加链接:
谢谢你,
金