Comment faire pour créer des captures de paquets étendues pour une vulnérabilité spécifique
Symptom
Parfois, nous soupçonnons qu’une signature de vulnérabilité est déclenchée pour une activité bénigne et nous voulons recueillir plus d’informations afin que nous puissions soumettre une demande d'«examen faux positif ». Au lieu de créer général policy pour recueillir des captures de paquets étendus pour une gravité spécifique de la vulnérabilité, comme décrit dans un article de configuration trouvé ici, parfois nous avons besoin de créer des captures étendues que dans le but spécifique de soumettre un rapport faussement positif.
Pour une telle action, nous devons créer une exception spécifique de protection des vulnérabilités dans le profil de protection des vulnérabilités que nous utilisons (en modifiant le profil de protection des vulnérabilités applicable ou en clonage des profils « par défaut » ou « stricts », car ceux-ci ne peuvent pas être modifiés).
Environment
PAN-OS >= 6,0
Cause
Certaines signatures de menace sont détectées lors SSL du décryptage et l’exécution d’une capture de paquets standard ne capturerait que les SSL paquets chiffrés.
Cette fonctionnalité permet l’extraction des paquets qui ont causé des déclencheurs de signature, même lorsque le trafic d’origine est crypté et par la suite décrypté par le firewall .
Sans cette fonctionnalité, la dernière option de ressources pour le trafic crypté/décrypté est d’implémenter un miroir de port de décryptage.