Wie man erweiterte Paketaufnahmen für eine bestimmte Verwundbarkeit erstellt

Wie man erweiterte Paketaufnahmen für eine bestimmte Verwundbarkeit erstellt

19616
Created On 09/26/18 13:39 PM - Last Modified 05/16/22 22:24 PM


Symptom


Manchmal vermuten wir, dass eine Vulnerability-Signatur für gutartige Aktivitäten ausgelöst wird, und wir möchten weitere Informationen sammeln, damit wir eine "False Positive Review"-Anforderung senden können. Anstatt allgemeine policy Pakete zu erstellen, um erweiterte Paketerfassungen für einen bestimmten Schweregrad der Sicherheitsanfälligkeit zu sammeln, wie in einem Konfigurationsartikel hier beschrieben,müssen wir manchmal erweiterte Erfassungen nur für den spezifischen Zweck der Übermittlung eines falsch positiven Berichtserstellen.
 

Für eine solche Aktion müssen wir eine bestimmte Ausnahme zum Schutz vor Sicherheitsanfälligkeit innerhalb des von uns verwendenden Vulnerability Protection-Profils erstellen (durch Bearbeiten des anwendbaren Vulnerability Protection Profile oder Klonen von "Standard"- oder "strengen" Profilen, da diese nicht bearbeitet werden können).

Environment


PAN-OS >= 6,0

Cause


Einige Bedrohungssignaturen werden während der SSL Entschlüsselung erkannt, und das Ausführen einer Standardpaketerfassung würde nur verschlüsselte SSL Pakete erfassen.
 

Diese Funktion ermöglicht die Extraktion der Pakete, die Signaturauslöser verursacht haben, auch wenn der ursprüngliche Datenverkehr verschlüsselt und anschließend von der entschlüsselt firewall wird.

Ohne diese Funktion besteht die letzte Ressourcenoption für verschlüsselten/entschlüsselten Datenverkehr darin, einen Entschlüsselungsportspiegel zu implementieren.

Resolution


Schritt 1. Identifizieren Sie die Bedrohung ID der betreffenden Signatur.

Schritt 2. Identifizieren Sie das Profil zum Schutz der Sicherheitsanfälligkeit, das an die Policy Sicherheitsverarbeitung des Datenverkehrs gebunden ist.

Schritt 3. Öffnen Sie das Profil zum Schutz der Sicherheitsanfälligkeit, und fahren Sie zur Registerkarte "Ausnahmen".

Schritt 4. Suchen Sie nach der Bedrohung ID der betreffenden Signatur, und klicken Sie auf das untere linke Kontrollkästchen "Alle Signaturen anzeigen".

Schritt 5. Klicken Sie in der rechten Spalte (Packet Capture) auf die aktuelle Aktion (wahrscheinlich 'deaktivieren') und ändern Sie die Aktion in Extended-Capture. Vergessen Sie auch nicht, ganz links neben dem Eintrag auf das Kontrollkästchen Aktivieren zu klicken, bevor Sie auf klicken OK (sonst werden die Änderungen nicht angewendet).

Schritt 6. Klicken Sie auf OK und übernehmen Sie Ihre Änderungen.

Schritt 7. Führen Sie den verdächtigen Datenverkehr erneut aus, und überprüfen Sie die neu geschriebenen Meldungsprotokolleinträge. Links neben dem Meldungseintrag wird ein grüner Abwärtspfeil angezeigt, aus dem die automatisch erfasste PCAP Datei exportiert werden kann.

Nachdem Sie erweiterte Erfassungen gesammelt und false Positive-Berichte übermittelt haben, können Sie diese Ausnahme zum Schutz der Sicherheitsanfälligkeit einfach entfernen/deaktivieren.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CllSCAS&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language