Trucs et astuces: activer les captures de paquets sur les profils de sécurité

Trucs et astuces: activer les captures de paquets sur les profils de sécurité

28948
Created On 09/25/18 19:22 PM - Last Modified 06/07/23 18:15 PM


Resolution


fy16-tipstricks-lato.png

Conseils et astuces d'Aujourd'hui est d'activer "Packet Capture" sur les profils de sécurité.

 

Une fonctionnalité de sécurité qui est parfois négligée par les professionnels de la sécurité est l'option de capture de paquets à l'intérieur des profils de sécurité. Cette option est prévue pour être disponible dans le cas où vous devez signaler tout faux positif ou pour résoudre tout autre problème avec le comportement des profils de sécurité. Plus spécifiquement, les profils antivirus, anti-spyware et de protection des vulnérabilités. L'activation de cette option permet de capturer les données que notre moteur d'inspection marque comme une menace.

 

Pour activer les fonctionnalités, accédez aux objets > profils de sécurité sur le WebGUI.

 

Profil antivirus

TNT-2015-06-23-P1. png

Activez la case à cocher si vous souhaitez capturer les paquets identifiés.

 

Profil anti-spyware

Onglet signatures DNS internes:

TNT-2015-06-23-P4. png

 

Profil de protection de vulnérabilité

Règles > nom de la règle:

TNT-2015-06-23-P5. png

TNT-2015-06-23-P6. png

Notez que l'Anti-Spyware et la protection de vulnérabilité ont plus d'options.

  • Personnes handicapées
  • Paquet simple
    • Sélectionnez un seul paquet pour capturer un paquet lorsqu'une menace est détectée.
  • Extended-capture
    • Sélectionnez l'option de capture étendue pour capturer plus de paquets. Extended-capture fournira beaucoup plus de contexte à la menace lors de l'analyse des journaux de menace ou lors de la fourniture des captures de TAC à analyser.

 

Pour définir le nombre de paquets à capturer, accédez à Device > Setup > Content-ID, puis modifiez la section paramètres de détection des menaces, comme indiqué ci-dessous:

TNT-2015-06-23-P3. png

Définissez le nombre de paquets à capturer lorsque l'option de capture étendue est activée dans les profils anti-spyware et protection des vulnérabilités. La plage est 1-50, la valeur par défaut est 5.

 

Pour afficher la capture de paquets, naviguez jusqu'à surveiller > logs > menace et localisez l'Entrée du journal qui vous intéresse, puis cliquez sur la flèche verte vers le bas dans la deuxième colonne. Les captures de paquets ne se produisent que si l'action est allow ou Alert.

TNT-2015-06-23-P2. png

Remarque: si l'action Block est définie, la session est immédiatement terminée.

 

Pour toutes les captures de paquets que vous voyez à l'intérieur des journaux de menaces, vous avez une option pour "Exporter" les captures. Cela permettra d'enregistrer le fichier localement sur l'ordinateur client utilisé pour accéder au WebGUI.

 

Comme toujours, nous saluons vos commentaires et vos réactions. Si vous aimez ce que vous voyez, S'il vous plaît laissez-nous savoir. Si vous voulez des sujets spécifiques S'il vous plaît laissez-moi savoir.

 

Merci pour la lecture,

Joe Delio
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClXCCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language