Tipps & Tricks: PaketAufnahmen auf Sicherheits Profilen aktivieren

Tipps & Tricks: PaketAufnahmen auf Sicherheits Profilen aktivieren

28938
Created On 09/25/18 19:22 PM - Last Modified 06/07/23 18:15 PM


Resolution


FY16-Tipstricks-lato.png

Bei den heutigen Tipps & Tricks geht es darum, "Paket Erfassung" auf Sicherheits Profilen zu ermöglichen.

 

Ein Sicherheitsmerkmal, das von Sicherheitsexperten manchmal übersehen wird, ist die Paket Aufzeichnungs Option innerhalb der SicherheitsProfile. Diese Option soll für den Fall verfügbar sein, dass Sie falsche positive melden oder andere Probleme mit dem Verhalten der SicherheitsProfile beheben müssen. Genauer gesagt, Antiviren-, Anti-Spyware und Schwachstellen Schutz Profile. Durch die Aktivierung dieser Option werden die Daten erfasst, die unsere Inspektionsmaschine als Bedrohung darstellt.

 

Um die Funktionen zu aktivieren, gehen Sie auf Objekte > SicherheitsProfile auf dem WebGUI.

 

Antivirenprofil

TNT-2015-06-23-P1. png

Wählen Sie das Kästchen aus, wenn Sie identifizierte Pakete erfassen möchten.

 

Anti-Spyware-Profil

In der Registerkarte DNS-Signaturen:

TNT-2015-06-23-P4. png

 

Schwachstellen SchutzProfil

Regeln > Regel Name:

TNT-2015-06-23-P5. png

TNT-2015-06-23-P6. png

Beachten Sie, dass Anti-Spyware und Verwundbarkeits Schutz mehr Optionen haben.

  • Behinderte
  • EinzelPaket
    • Wählen Sie Single-Packet, um ein Paket zu erfassen, wenn eine Bedrohung erkannt wird.
  • Extended-Capture
    • Wählen Sie die erweiterte Capture-Option, um weitere Pakete zu erfassen. Extended-Capture wird der Bedrohung bei der Analyse der Bedrohungs Protokolle oder bei der Bereitstellung der Aufnahmen für TAC, um Sie zu analysieren, viel mehr Kontext bieten.

 

Um die Anzahl der Pakete zu definieren, die erfasst werden sollten, navigieren Sie zu Device > Setup > Content-ID und bearbeiten Sie dann den Abschnitt BedrohungsErkennung, wie unten gezeigt:

TNT-2015-06-23-P3. png

Legen Sie die Anzahl der Pakete fest, die erfasst werden sollen, wenn die erweiterte Capture-Option in Anti-Spyware und Verwundbarkeits Schutz Profilen aktiviert ist. Die Reichweite beträgt 1-50, Standard ist 5.

 

Um die Paket Aufnahme zu sehen, navigieren Sie zu Monitor > Logs > Bedrohung und lokalisieren Sie den Log-Eintrag, den Sie interessieren, und klicken Sie dann auf den grünen Pfeil in der zweiten Spalte. Paketaufnahmen werden nur dann auftreten, wenn die Aktion erlaubt oder wachsam ist.

TNT-2015-06-23-P2. png

Hinweis: Wenn die blockaktion eingestellt ist, wird die Sitzung sofort beendet.

 

Für alle Paketaufnahmen, die Sie in den Bedrohungs Protokollen sehen, haben Sie die Möglichkeit, die Aufnahmen zu "Exportieren". Dies speichert die Datei lokal auf dem Client-Rechner, der für den Zugriff auf die WebGUI verwendet wird.

 

Wie immer freuen wir uns über Ihre Kommentare und Rückmeldungen. Wenn Ihnen das gefällt, was Sie sehen, lassen Sie es uns bitte wissen. Wenn Sie konkrete Themen wünschen, lassen Sie es mich wissen.

 

Danke fürs Lesen,

Joe Delio
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClXCCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language