如何为特定的漏洞创建扩展数据包捕获
19612
Created On 09/26/18 13:39 PM - Last Modified 05/16/22 22:24 PM
Symptom
有时,我们怀疑漏洞签名被触发为良性活动,我们希望收集更多信息,以便我们可以提交"虚假正评"请求。 而不是创建一般 policy 收集扩展的数据包捕获的漏洞的特定严重程度,如 在此处找到的配置文章中描述,有时我们只需要创建扩展捕获只是为了 提交虚假阳性报告的具体目的。
对于此类操作,我们需要在我们使用的漏洞保护配置文件中创建特定的漏洞保护例外(通过编辑适用的漏洞保护配置文件或克隆"默认"或"严格"配置文件,因为这些配置文件无法编辑)。
Environment
PAN-OS >= 6.0
Cause
解密期间会检测到某些威胁签名 SSL ,运行标准数据包捕获只会捕获加密 SSL 数据包。
此功能允许提取导致签名触发器的包,即使原始流量被加密,然后由 firewall 。
如果没有此功能,加密/解密流量的最后一个资源选项是实现解密端口镜。