今天的提示和窍门是关于在安全配置文件上启用 "数据包捕获"。
安全专业人员有时忽略的一个安全功能是安全配置文件内的 "数据包捕获" 选项。此选项用于在您需要报告任何假阳性或对安全配置文件行为的任何其他问题进行疑难解答时可用。更具体地说, 防病毒、反间谍软件和漏洞保护配置文件。启用此选项可捕获我们的检查引擎标记为威胁的数据。
要启用这些功能, 可以转到 WebGUI 上的对象 > 安全配置文件。
防病毒配置文件
如果要捕获已识别的数据包, 请选中该复选框。
反间谍软件配置文件
"DNS 签名" 选项卡中:
漏洞保护配置文件
规则 > 规则名称:
请注意, 防间谍软件和漏洞保护有更多的选项。
- 已禁用
- 单包
- 扩展捕获
- 选择扩展捕获选项以捕获更多数据包。扩展捕获将在分析威胁日志或提供用于 TAC 分析的捕获时, 为威胁提供更多的上下文。
要定义应捕获的数据包数, 请导航到设备 >> 安装程序 > 内容 ID, 然后编辑 "威胁检测设置" 部分, 如下所示:
设置在反间谍软件和漏洞保护配置文件中启用扩展捕获选项时要捕获的数据包数。范围为 1-50, 默认值为5。
要查看数据包捕获, 请导航到监视器 > 日志 > 威胁并找到您感兴趣的日志条目, 然后单击第二列中的绿色向下箭头。只有在允许或警报操作时才会发生数据包捕获。
注意:如果设置了块操作, 会话将立即结束.
对于在威胁日志内看到的所有数据包捕获, 您可以选择 "导出" 捕获。这将在用于访问 WebGUI 的客户端计算机上本地保存该文件。
一如既往, 我们欢迎您的意见和反馈。如果你喜欢你所看到的, 请让我们知道。如果你想要特定的主题, 请让我知道。
感谢阅读,
乔德里奥