Cómo crear capturas de paquetes extendidos para una vulnerabilidad específica

Cómo crear capturas de paquetes extendidos para una vulnerabilidad específica

19624
Created On 09/26/18 13:39 PM - Last Modified 05/16/22 22:24 PM


Symptom


A veces sospechamos que una firma de vulnerabilidad se desencadena para la actividad benigna y queremos recopilar más información para que podamos enviar una solicitud de "Revisión falsa positiva". En lugar de crear general policy para recopilar capturas de paquetes extendidas para una gravedad específica de vulnerabilidad, como se describe en un artículo de configuración que se encuentra aquí,a veces necesitamos crear capturas extendidas solo con el propósito específico de enviar un informe falso positivo.
 

Para esta acción, necesitamos crear una excepción específica de protección contra vulnerabilidades dentro del perfil de protección contra vulnerabilidades que estamos utilizando (editando el perfil de protección contra vulnerabilidades aplicable o clonando perfiles 'predeterminados' o 'estrictos', ya que no se pueden editar).

Environment


PAN-OS >= 6.0

Cause


Algunas firmas de amenazas se detectan durante SSL el descifrado y ejecutar una captura de paquetes estándar solo capturaría SSL paquetes cifrados.
 

Esta característica permite la extracción de los paquetes que causaron los desencadenadores de la firma, incluso cuando el tráfico original es cifrado y posteriormente descifrado por el firewall .

Sin esta característica, la última opción de recurso para el tráfico cifrado/descifrado es implementar una réplica de puerto de descifrado.

Resolution


Paso 1. Identifique la amenaza ID de la firma en cuestión.

Paso 2. Identifique el perfil de protección contra vulnerabilidades vinculado a la seguridad Policy que procesa el tráfico.

Paso 3. Abra el perfil de protección contra vulnerabilidades y diríjase a la pestaña "Excepciones".

Paso 4. Busque la amenaza ID de la firma en cuestión y haga clic en la casilla inferior izquierda "Mostrar todas las firmas".

Paso 5. En la columna más a la derecha (captura de paquetes) haga clic en la acción actual (probablemente 'disable') y cambie la acción a extended-capture. Además, no olvide hacer clic en la casilla Habilitar a la izquierda de la entrada antes de hacer clic en OK (de lo contrario, los cambios no se aplicarán).

Paso 6. Haga clic OK y confirme sus cambios.

Paso 7. Vuelva a ejecutar el tráfico sospechoso y compruebe las entradas de registro de amenazas recién escritas. Habrá una flecha verde hacia abajo a la izquierda de la entrada Registro de amenazas, desde donde se puede exportar el archivo recopilado PCAP automáticamente.

Una vez que haya recopilado capturas extendidas y enviado un informe falso positivo, puede quitar o deshabilitar fácilmente esta excepción de protección contra vulnerabilidades.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CllSCAS&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language