特定の脆弱性に対する拡張パケットキャプチャの作成方法

特定の脆弱性に対する拡張パケットキャプチャの作成方法

19614
Created On 09/26/18 13:39 PM - Last Modified 05/16/22 22:24 PM


Symptom


脆弱性の署名が良性のアクティビティのためにトリガーされていると思われる場合があり、より多くの情報を収集して「誤検知レビュー」要求を送信したいと考えることがあります。 policyここで見られる構成資料で説明されているように、脆弱性の特定の重大度に関する拡張パケット キャプチャを収集する汎用を作成する代わりに、誤検知レポートを送信する特定の目的に対してのみ拡張キャプチャを作成する必要がある場合があります。
 

このようなアクションのために、当社は、当社が使用している脆弱性保護プロファイル内に特定の脆弱性保護例外を作成する必要があります(該当する脆弱性保護プロファイルを編集するか、編集できないため、「デフォルト」または「厳格」プロファイルを複製します)。

Environment


PAN-OS >= 6.0

Cause


一部の脅威シグネチャは復号化中に検出 SSL され、標準パケット キャプチャの実行中は暗号化された SSL パケットのみをキャプチャします。
 

この機能を使用すると、元のトラフィックが暗号化され、その後に によって復号化された場合でも、署名トリガーを発生させたパケットを抽出できます firewall 。

この機能を使用しない場合、暗号化/復号化されたトラフィックの最後のリソース オプションは、復号化ポート ミラーを実装することです。

Resolution


ステップ 1. ID問題の署名の脅威を特定します。

ステップ 2. セキュリティがトラフィックを処理する脆弱性保護プロファイル Policy を特定します。

ステップ 3. 脆弱性保護プロファイルを開き、[例外] タブに移動します。

ステップ 4. ID問題の署名の脅威を検索し、左下のチェックボックス「すべての署名を表示」をクリックします。

ステップ 5. 右端の列 (パケット キャプチャ) で現在のアクション (おそらく "無効") をクリックし、アクションを拡張キャプチャに変更します。 また、エントリの一番左にある[有効]チェックボックスをクリックしてからクリックしてください OK (それ以外の場合は変更は適用されません)。

ステップ 6. をクリック OK して変更を確定します。

ステップ 7. 疑わしいトラフィックを再度実行し、新しく書き込まれた脅威ログ エントリを確認します。 [脅威] ログ エントリの左側に緑色の下向き矢印が表示され、そこから自動的に収集された PCAP ファイルをエクスポートできます。

拡張キャプチャを収集し、誤検知レポートを提出すると、この脆弱性保護の例外を簡単に削除/無効化できます。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CllSCAS&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language