Wie man erweiterte Paketaufnahmen für eine bestimmte Verwundbarkeit erstellt
Symptom
Manchmal vermuten wir, dass eine Vulnerability-Signatur für gutartige Aktivitäten ausgelöst wird, und wir möchten weitere Informationen sammeln, damit wir eine "False Positive Review"-Anforderung senden können. Anstatt allgemeine policy Pakete zu erstellen, um erweiterte Paketerfassungen für einen bestimmten Schweregrad der Sicherheitsanfälligkeit zu sammeln, wie in einem Konfigurationsartikel hier beschrieben,müssen wir manchmal erweiterte Erfassungen nur für den spezifischen Zweck der Übermittlung eines falsch positiven Berichtserstellen.
Für eine solche Aktion müssen wir eine bestimmte Ausnahme zum Schutz vor Sicherheitsanfälligkeit innerhalb des von uns verwendenden Vulnerability Protection-Profils erstellen (durch Bearbeiten des anwendbaren Vulnerability Protection Profile oder Klonen von "Standard"- oder "strengen" Profilen, da diese nicht bearbeitet werden können).
Environment
PAN-OS >= 6,0
Cause
Einige Bedrohungssignaturen werden während der SSL Entschlüsselung erkannt, und das Ausführen einer Standardpaketerfassung würde nur verschlüsselte SSL Pakete erfassen.
Diese Funktion ermöglicht die Extraktion der Pakete, die Signaturauslöser verursacht haben, auch wenn der ursprüngliche Datenverkehr verschlüsselt und anschließend von der entschlüsselt firewall wird.
Ohne diese Funktion besteht die letzte Ressourcenoption für verschlüsselten/entschlüsselten Datenverkehr darin, einen Entschlüsselungsportspiegel zu implementieren.