Atténuer les vulnérabilités grâce à une bonne application de la prévention des menaces

Demande client

Une configuration appropriée d'un dispositif Pan-OS est nécessaire pour détecter et prévenir avec succès les vulnérabilités.

Bien que l'action recommandée par Palo Alto Networks consiste à patcher tous les périphériques vulnérables, y compris les périphériques Pan-OS, aux niveaux de version appropriés spécifiés dans les avis de sécurité, les versions de contenu d'urgence contiennent des signatures pour aider à protéger Pan-OS.

Solution

La solution sera divisée en petits pas:

1. Installation du contenu
2. Configuration d'un profil de protection de vulnérabilité pour prendre les mesures appropriées contre la signature de la correspondance de modèle (Reset-both)
3. Affecter le profil de protection de vulnérabilité configuré à une règle de sécurité 
4. Configuration du décryptage SSL entrant 

Détails

1. Installation
   du contenu Assurez-vous que le contenu est mis à jour vers la dernière version.
   
   
   
2. Configurer un profil de protection des vulnérabilités
   cette section décrit brièvement comment configurer un profil de protection des vulnérabilités pour prendre des mesures préventives contre la détection des ID de menace associés à tout avis de sécurité.
   Il y a deux options pour cette partie de la configuration:
   1. Dans cet exemple, le profil de protection de vulnérabilité "strict" est configuré pour prendre une réinitialisation-à la fois l'action contre la détection des signatures de haute gravité; 38902, 38903 et 38904 sont des signatures de sévérité élevée. En tant que tel, ce profil peut être utilisé sur la règle de sécurité qui correspond au trafic entrant destiné au pare-feu.
   2. UN profil de protection de vulnérabilité personnalisé avec des actions pour ces trois signatures définies à RESET-BOTH. Veuillez consulter ce lien pour obtenir de l'aide sur ce processus.
       
3. Affecter le profil de protection de la vulnérabilité à une règle de sécurité
   cette section décrit comment affecter le profil de protection de vulnérabilité précédemment configuré à une règle de sécurité qui correspond au trafic destiné à Global Protect et à tout dataplane interface utilisée pour la gestion.
   
   Pour cet exercice, supposons que Global Protect soit hébergé sur une interface logée sur la zone de «non-confiance» et que le trafic VPN soit également source de la zone «Untrust».
   
   Pour protéger contre l'exploitation de Global protection, ou d'autres services publiés sur le dataplane, le profil de protection des vulnérabilités doit être assigné à une règle de sécurité qui inspecte la zone «Untrust» pour le trafic de zone «non-Trust».  
   
   
   Dans la capture d'écran ci-dessus, l'icône sous la colonne de profil est le profil de protection de vulnérabilité "strict" référencé dans notre étape précédente. La zone source est la «méfiance» et la zone de destination est «méfiance».
   
   L'étape suivante doit être prise dans le cas où une interface dataplane est utilisée pour la gestion des périphériques.
4. Configurer le décryptage SSL entrant
   référencez les documents suivants pour faciliter la configuration du décryptage SSL entrant: 
   • Configurer l'inspection entrante SSL 
   • Comment faire pour mettre en œuvre et essai décryptage SSL