Cómo crear un informe personalizado para los ataques de Heartbleed (CVE-2014-0160)

Pasos

1. Ir a monitor > informes personalizados y haga clic en nuevo
2. Introduzca un nombre para el informe y configure los siguientes valores:
   • Base de datos: Resumen de amenazas
   • Marco de tiempo: últimas 24 hrs
     
     
     
3. Seleccione las columnas que se mostrarán en el informe, según sea necesario.
4. En Query Builder, configure la siguiente consulta:

   "(threatid EQ 36416) o (threatid EQ 36418) o (threatid EQ 40039)"

Nota: en esta última instantánea, el marco de tiempo se ha cambiado al día calendario pasado porque se habilitó programado.

La siguiente es una descripción de los tres números de identificación de amenazas:

• 36416: OpenSSL TLS Heartbeat información vulnerabilidad de divulgación-Heartbleed
  esta firma analiza la solicitud y las longitudes de respuesta para buscar anomalías.   Esto requiere que el servidor sea vulnerable, debido a los datos que esta firma analiza y compara.  Es eficaz contra una sola "sonda", lo que significa que no necesita solicitudes masivas para desencadenar.
• 40039: OpenSSL TLS Heartbeat fuerza bruta-Heartbleed
  esta firma se activa en una alta tasa de peticiones de latido.   Esto no requiere que el servidor sea vulnerable, ya que sólo está buscando en el lado del cliente, sin embargo, requiere múltiples peticiones de latido indicativo de un ataque más "mundo real", por lo que una sola "prueba de sondeo" no activará la firma.
• 36418: se encontró una respuesta de latido malformada de OpenSSL TLS-Heartbleed
  esta firma se desencadena en una respuesta de servidor malformada.   Esto requiere que el servidor sea vulnerable, debido a los datos que esta firma analiza y compara.  Es eficaz contra una sola "sonda", lo que significa que no necesita solicitudes masivas para desencadenar.

Propietario: jjosephs