Comment faire pour créer des captures de paquets étendues pour une vulnérabilité spécifique

Comment faire pour créer des captures de paquets étendues pour une vulnérabilité spécifique

19622
Created On 09/26/18 13:39 PM - Last Modified 05/16/22 22:24 PM


Symptom


Parfois, nous soupçonnons qu’une signature de vulnérabilité est déclenchée pour une activité bénigne et nous voulons recueillir plus d’informations afin que nous puissions soumettre une demande d'«examen faux positif ». Au lieu de créer général policy pour recueillir des captures de paquets étendus pour une gravité spécifique de la vulnérabilité, comme décrit dans un article de configuration trouvé ici, parfois nous avons besoin de créer des captures étendues que dans le but spécifique de soumettre un rapport faussement positif.
 

Pour une telle action, nous devons créer une exception spécifique de protection des vulnérabilités dans le profil de protection des vulnérabilités que nous utilisons (en modifiant le profil de protection des vulnérabilités applicable ou en clonage des profils « par défaut » ou « stricts », car ceux-ci ne peuvent pas être modifiés).

Environment


PAN-OS >= 6,0

Cause


Certaines signatures de menace sont détectées lors SSL du décryptage et l’exécution d’une capture de paquets standard ne capturerait que les SSL paquets chiffrés.
 

Cette fonctionnalité permet l’extraction des paquets qui ont causé des déclencheurs de signature, même lorsque le trafic d’origine est crypté et par la suite décrypté par le firewall .

Sans cette fonctionnalité, la dernière option de ressources pour le trafic crypté/décrypté est d’implémenter un miroir de port de décryptage.

Resolution


Étape 1. Identifiez la ID menace de la signature en question.

Étape 2. Identifiez le profil de protection des vulnérabilités lié au traitement Policy de sécurité du trafic.

Étape 3. Ouvrez le profil de protection des vulnérabilités et dirigez-vous vers l’onglet « Exceptions ».

Étape 4. Recherchez la menace de ID la signature en question et cliquez sur la case à cocher en bas à gauche " Afficher toutes les signatures « .

Étape 5. À la colonne la plus à droite (capture de paquets), cliquez sur l’action en cours (probablement « désactiver ») et modifiez l’action en capture étendue. Aussi, n’oubliez pas de cliquer sur la case à cocher Activer à l’extrême gauche de l’entrée avant de cliquer OK sur (sinon les modifications ne seront pas appliquées).

Étape 6. Cliquez sur OK et engagez vos modifications.

Étape 7. Exécutez à nouveau le trafic suspect et vérifiez les entrées de journal de menace nouvellement écrites. Il y aura une flèche verte vers le bas à gauche de l’entrée du journal de menace, d’où le fichier PCAP automatiquement collecté peut être exporté.

Une fois que vous avez recueilli des captures étendues et soumis un rapport faux positif, vous pouvez facilement supprimer/désactiver cette exception de protection contre la vulnérabilité.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CllSCAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language