Consejos y trucos: habilitar capturas de paquetes en perfiles de seguridad

Consejos y trucos: habilitar capturas de paquetes en perfiles de seguridad

28940
Created On 09/25/18 19:22 PM - Last Modified 06/07/23 18:15 PM


Resolution


fy16-tipstricks-lato.png

Consejos y trucos de hoy se trata de habilitar la "captura de paquetes" en los perfiles de seguridad.

 

Una característica de seguridad que a veces se pasa por encima de los profesionales de seguridad es la opción de captura de paquetes dentro de los perfiles de seguridad. Esta opción está destinada a estar disponible en caso de que necesite reportar cualquier falso positivo o solucionar cualquier otro problema con el comportamiento de los perfiles de seguridad. Más específicamente, antivirus, anti-spyware y perfiles de protección de vulnerabilidades. Habilitar esta opción captura los datos que nuestro motor de inspección etiqueta como una amenaza.

 

Para habilitar las funciones ir a objetos > perfiles de seguridad en el WebGUI.

 

Perfil antivirus

TNT-2015-06-23-P1. png

Active la casilla de verificación si desea capturar paquetes identificados.

 

Perfil de anti-spyware

Dentro de la ficha firmas DNS:

TNT-2015-06-23-P4. png

 

Perfil de protección de vulnerabilidad

Reglas > nombre de la regla:

TNT-2015-06-23-P5. png

TNT-2015-06-23-P6. png

Note que el anti-spyware y la protección contra vulnerabilidades tienen más opciones.

  • Con discapacidad
  • Solo paquete
    • Seleccione un solo paquete para capturar un paquete cuando se detecte una amenaza.
  • Ampliación de captura
    • Seleccione la opción de captura extendida para capturar más paquetes. Extended-Capture proporcionará mucho más contexto a la amenaza al analizar los registros de amenazas o al proporcionar las capturas para que el TAC analice.

 

Para definir el número de paquetes que se deben capturar, desplácese hasta dispositivo > Setup > Content-ID y, a continuación, edite la sección configuración de detección de amenazas, como se muestra a continuación:

TNT-2015-06-23-P3. png

Defina el número de paquetes que desea capturar cuando se habilite la opción de captura extendida en perfiles de protección contra software espía y vulnerabilidad. El rango es 1-50, por defecto es 5.

 

Para ver la captura de paquetes, desplácese hasta supervisar > logs > amenaza y localice la entrada de registro en la que está interesado y, a continuación, haga clic en la flecha verde hacia abajo en la segunda columna. Las capturas de paquetes sólo se producirán si la acción es permitir o alerta.

TNT-2015-06-23-P2. png

Nota: si se establece la acción de bloqueo, la sesión finalizará inmediatamente.

 

Para todas las capturas de paquetes que se ven dentro de los registros de amenazas, tiene la opción de "exportar" las capturas. Esto guardará el archivo localmente en el equipo cliente que se utiliza para acceder al webgui.

 

Como siempre, damos la bienvenida a sus comentarios y opiniones. Si te gusta lo que ves, por favor, déjanos saber. Si quieres temas específicos por favor Avísame.

 

Gracias por leerme,

Joe Delio
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClXCCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language