Cómo crear capturas de paquetes extendidos para una vulnerabilidad específica
Symptom
A veces sospechamos que una firma de vulnerabilidad se desencadena para la actividad benigna y queremos recopilar más información para que podamos enviar una solicitud de "Revisión falsa positiva". En lugar de crear general policy para recopilar capturas de paquetes extendidas para una gravedad específica de vulnerabilidad, como se describe en un artículo de configuración que se encuentra aquí,a veces necesitamos crear capturas extendidas solo con el propósito específico de enviar un informe falso positivo.
Para esta acción, necesitamos crear una excepción específica de protección contra vulnerabilidades dentro del perfil de protección contra vulnerabilidades que estamos utilizando (editando el perfil de protección contra vulnerabilidades aplicable o clonando perfiles 'predeterminados' o 'estrictos', ya que no se pueden editar).
Environment
PAN-OS >= 6.0
Cause
Algunas firmas de amenazas se detectan durante SSL el descifrado y ejecutar una captura de paquetes estándar solo capturaría SSL paquetes cifrados.
Esta característica permite la extracción de los paquetes que causaron los desencadenadores de la firma, incluso cuando el tráfico original es cifrado y posteriormente descifrado por el firewall .
Sin esta característica, la última opción de recurso para el tráfico cifrado/descifrado es implementar una réplica de puerto de descifrado.