如何为特定的漏洞创建扩展数据包捕获

如何为特定的漏洞创建扩展数据包捕获

19612
Created On 09/26/18 13:39 PM - Last Modified 05/16/22 22:24 PM


Symptom


有时,我们怀疑漏洞签名被触发为良性活动,我们希望收集更多信息,以便我们可以提交"虚假正评"请求。 而不是创建一般 policy 收集扩展的数据包捕获的漏洞的特定严重程度,如 在此处找到的配置文章中描述,有时我们只需要创建扩展捕获只是为了 提交虚假阳性报告的具体目的。
 

对于此类操作,我们需要在我们使用的漏洞保护配置文件中创建特定的漏洞保护例外(通过编辑适用的漏洞保护配置文件或克隆"默认"或"严格"配置文件,因为这些配置文件无法编辑)。

Environment


PAN-OS >= 6.0

Cause


解密期间会检测到某些威胁签名 SSL ,运行标准数据包捕获只会捕获加密 SSL 数据包。
 

此功能允许提取导致签名触发器的包,即使原始流量被加密,然后由 firewall 。

如果没有此功能,加密/解密流量的最后一个资源选项是实现解密端口镜。

Resolution


第 1 步。 识别 ID 有关签名的威胁。

第 2 步。 识别与处理流量的安全相关的漏洞保护配置文件 Policy 。

第 3 步。 打开漏洞保护配置文件,前往"异常"选项卡。

第 4 步。 搜索 ID 有关签名的威胁,然后单击左下框"显示所有签名"。

第 5 步。 在最右侧的列(数据包捕获)单击当前操作(可能"禁用"),并将操作更改为扩展捕获。 此外,在单击之前,不要忘记单击条目最左侧的"启用"复选框 OK (否则将不应用更改)。

第 6 步。 单击 OK 并提交更改。

第 7 步。 再次运行可疑流量,并验证新编写的威胁日志条目。 威胁日志条目左侧将有一个绿色向下指向箭头,可以从该 PCAP 箭头导出自动收集的文件。

收集扩展捕获并提交错误正报后,您可以轻松删除/禁用此漏洞保护异常。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CllSCAS&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language