今日のヒントとコツは、セキュリティプロファイルで "パケットキャプチャ" を有効にする方法です。
セキュリティの専門家によって見落とされることがあるセキュリティ機能の1つは、セキュリティプロファイル内のパケットキャプチャオプションです。このオプションは、偽陽性を報告したり、セキュリティプロファイルの動作に関するその他の問題のトラブルシューティングを行う必要がある場合に使用できるようにするためのものです。具体的には、ウイルス対策、スパイウェア対策、および脆弱性保護プロファイル。このオプションを有効にすると、検査エンジンタグのデータが脅威として取り込まれます。
機能を有効にするには、オブジェクト > WebGUI のセキュリティプロファイルに移動します。
ウイルス対策プロファイル
識別されたパケットをキャプチャする場合は、このチェックボックスをオンにします。
スパイウェア対策プロファイル
[DNS 署名] タブの内部:
脆弱性保護プロファイル
ルール > ルール名:
スパイウェア対策および脆弱性の保護には、より多くのオプションがあります。
- 無効になっています。
- 単一パケット
- 脅威が検出されたときに1つのパケットをキャプチャするには、シングルパケットを選択します。
- 拡張キャプチャ
- 拡張キャプチャオプションを選択して、より多くのパケットをキャプチャします。拡張キャプチャは、脅威ログを分析する場合や、TAC が分析するためのキャプチャを提供する場合に、脅威に対するより多くのコンテキストを提供します。
キャプチャするパケットの数を定義するには、[デバイス] > [セットアップ] > [コンテンツ ID] に移動し、次に示すように [脅威検出の設定] セクションを編集します。
スパイウェア対策および脆弱性保護プロファイルで拡張キャプチャオプションが有効になっている場合にキャプチャするパケットの数を設定します。範囲は1-50、デフォルトは5です。
パケットキャプチャを表示するには、[監視] > [ログ] > [脅威] に移動し、目的のログエントリを見つけて、2番目の列の緑色の下向き矢印をクリックします。パケットキャプチャは、アクションが [許可] または [警告] の場合にのみ発生します。
注意:ブロックアクションが設定されている場合、セッションはすぐに終了します。
脅威ログの内部に表示されるすべてのパケットキャプチャに対して、キャプチャを "エクスポート" するオプションがあります。これにより、WebGUI にアクセスするために使用されたクライアントマシンにローカルでファイルが保存されます。
いつものように、我々はあなたのコメントやフィードバックを歓迎します。あなたが見るものが好きなら、私たちに知らせてください。特定のトピックがほしいと思ったら私に知らせなさい。
読書のおかげで
デリオ ・ ジョー