アプリ id、PCAPs、およびカスタム署名
Resolution
アプリ ID とは何ですか?
アプリケーションの識別またはアプリ ID は、パロアルトネットワークデバイスの主要なコンポーネントです。これは、特許取得済みのメカニズムは、パロアルトネットワークデバイス上でのみ提示され、そのポート、プロトコルと暗号化 (SSL または SSH) とは無関係にファイアウォールを横断するアプリケーションを識別するための責任があります。このアプリケーションの識別は、パロアルトネットワークのアプリケーションの署名 (今日2000以上の個々のアプリケーション id)、アプリケーションプロトコルデコーダ、およびヒューリスティックと比較して、パケットの負荷レベルで適切な層7の検査の成功を保証します。これらの要素は、この層の可視性を担当しています 7 (L7) パロアルトネットワークのファイアウォールを横断するトラフィック.
アプリ ID コンポーネントの背後にあるエンジンは、あらかじめ決められた一連のコンテキストによって駆動されます。これらのコンテキストは、デコーダを使用して、メインアプリケーション内でトンネリングされたアプリケーション (Gmail 内の Google トークなど) を識別するのに役立ちます。アプリケーションは、汎 OS アプリケーション ID エンジンによって分類および分類され、セキュリティポリシーレベルでアプリケーショングループの適切な識別と使用が可能になります。
この分類プロセス中に、パロアルトネットワークは、メインアプリケーション (親アプリ) と、これらの主要なアプリケーションの一部である直接依存 (または子アプリ) を定義します。たとえば、"アップロード" などのアプリを、新しく作成されたアプリ ID の親アプリとして分類することで、web からのファイル転送 (ブラウザーベースのファイル共有) を使用します。これにより、子アプリが親の "アップロード" アプリの一部として適切に識別され、適切な分類の下で該当するアプリケーションを表示できるようになります。
我々は分類、分類、および PAN-OS 内のいくつかの既知のアプリケーションを作成するにもかかわらず、まだパロアルトネットワークデバイスのデータベース上にないいくつかのアプリケーションがあります。これらのアプリケーションは "不明" と呼ばれ、その時点では汎 os には不明ですが、汎 os には知られていません。このような場合、カスタムのアプリ ID 署名を作成して、それらを適切に識別して分類することができます。
アプリ ID のしくみ
トラフィックがパロアルトネットワークのファイアウォールを通過している間、App ID エンジンは常にパン OS のログ ([モニタ] タブ) の一定の可視性を提供していますが、その可視性の前のシーケンスは次のようになります。
トラフィックは、セキュリティポリシーに一致し、署名を許可する必要があります。これらのシグネチャは、アプリケーション固有の特性に基づいてアプリケーション/アプリケーションを識別するためにトラフィックに適用されます。アプリケーションが標準のサービスポートを使用している場合は、[サービス] フィールドで "アプリケーションの既定値" を使用する必要があります。非標準ポートが使用されている場合、それらの TCP または UDP ポートは、トラフィックルールの [サービス] 列で指定する必要があります。
アプリケーション id エンジンがトラフィックが暗号化されていると判断した場合 (SSL または SSH)、アプリケーション id エンジンがトラフィックを検査できるようにするために、復号化ポリシーを配置する必要があります。
PAN-OS はコンテキストベースのエンジンです。デコーダは、いくつかの既知のプロトコルのためにも適用され、その他の "埋め込まれた" アプリケーションを識別するために責任があるかもしれないプロトコル (たとえば、Gmail の Google チャットでは、HTTP を介して使用) トンネリング。一部のアプリケーションは、まだ回避しようとする可能性がありますし、署名やデコーダを通じて識別されない場合があります。ヒューリスティックまたは行動分析は、アプリケーションを識別するために使用されることがあります。これらのすべての手順の後にアプリケーションが適切に識別されていない場合、それはさらなる分析とセキュリティ運用チームからの適切な識別のために "不明" として分類します。それでも不明なアプリケーションの場合は、セキュリティポリシーに配置された承認済みアプリケーションリストの一部としてブロックされるか、またはその一部であることはできません。
どのようにパン OS は、未知のアプリケーションを処理しますか?
アプリ id の採用プロセスを使用する場合、移行ツールを使用するか、ログを分析して手動で行うかについては、アプリ id を採用する最初の手順は、不明なトラフィックに対して未知のものを分離することです。既知のトラフィックは、すでにパロアルトネットワークのファイアウォールのログで識別されるアプリケーションです。不明は分析の対象であり、適切に識別される必要があります。サービスポートのみが含まれていてレイヤ3と4の検査のみを使用する場合は、「ファストパス」として知られるアプリの上書きルールが作成されている必要があります。
これらのルールは、不明なトラフィックの調査プロセス中に可視性を提供するために使用できます。適切なパケット情報が挿入され、さらに分析が TCP ストリームに引き継がれると、フルレイヤー7のアプリ ID 署名が作成され、アプリの上書きルールを必要とせずに可視性とレイヤー7の検査が提供されます。特定できなかったトラフィックについては、さらなる分析が必要です。パロアルトネットワークログは、このプロセス中に有効な情報を提供することがあります。
アプリケーションが未知のものとしてマークされた理由を知って-トラフィックがキーであり、汎 OS では未知数の分類の2つの主要なタイプがあります:
- ハンドシェイクが実行されたがタイムアウト前にデータが通過しなかった後に発生する不完全なデータ。
- ハンドシェイクが完了すると、データの一部が送信されますが、アプリケーションを識別するのに十分なパケットが送信されなかった場合に発生します。
これらのケースは、通常、ネットワーク関連または特異な方法で通信するいくつかの型破りなアプリケーションです。この時点では、不明なアプリケーションについて十分に知っていますが、このセッションが終了するまで、TCP ストリーム内のパターンを適切に識別するためにパケットキャプチャ (PCAP) が必要です。
PCAP を手元に持ち、適切な分析を行った後、ネットワーク内のアプリケーションを使用してトラフィックを複製します。ファイアウォールから PCAP を作成して詳細を十分に設定し、カスタムのアプリ ID 署名を作成することによって使用される適切なパターンを確立するか、またはそれがパロアルトネットワークサポートに送信され、それがあなたのために作成されます。
注: 1 つ以上のパケットストリームが必要になります。
カスタムアプリ id は、同じ条件で作成する必要があり、他のすべてのアプリケーションは、PAN-OS のアプリケーション id リポジトリに挿入されます。また、適切な特性、分類、カテゴリとサブカテゴリだけでなく、リスクレベルとサービスポートとタイムアウトが必要です。
PCAP を作成する方法
未知のトラフィックを識別するために、PCAP を実行します。
パケットキャプチャの作成の詳細については、次のドキュメントとビデオを参照してください。
上記のビデオは、方法を示しています:
- 汎 OS UI から基本的な PCAP を構成して実行する
- 生成された PCAP ファイルをダウンロードする
- 分析用の PCAP ファイルを開く
カスタムアプリ ID を作成する
TCP ストリームを分析し、パターンが検出された後、それは一定であり、ペイロード (MAC アドレス、ハードウェアの製造データ、NIC 情報) の周りのインフラストラクチャに関連していない、我々は今、我々の新しいカスタムアプリにこのデータのチャンクを使用することができます-ID 署名.
注: 正規表現では、16進数形式を使用します。
また見なさい
所有者: efurtado