Procédure de création d'un rapport personnalisé pour les attaques Heartbleed (CVE-2014-0160)

Étapes

1. Accédez au moniteur > Custom Reports et cliquez sur nouveau
2. Entrez un nom pour le rapport et configurez les valeurs suivantes:
   • Base de données: Résumé des menaces
   • Délai: dernières 24 heures
     
     
     
3. Sélectionnez les colonnes à afficher dans l'État, selon les besoins.
4. Sous Query Builder, configurez la requête suivante:

   "(threatid EQ 36416) ou (threatid EQ 36418) ou (threatid EQ 40039)"

Remarque: dans ce dernier instantané, le délai a été modifié pour le dernier jour du calendrier, car l'option planifiée a été activée.

Voici une description des trois numéros d'identification de la menace:

• 36416: vulnérabilité de divulgation d'informations sur les pulsations d'OpenSSL TLS-Heartbleed
  cette signature analyse les longueurs de demande et de réponse pour rechercher des anomalies.   Cela nécessite que le serveur soit vulnérable, en raison des données que cette signature analyse et compare.  Il est efficace contre une seule "sonde", ce qui signifie qu'il n'a pas besoin de demandes en vrac pour déclencher.
• 40039: OpenSSL TLS Heartbeat force brute-Heartbleed
  cette signature déclenche un taux élevé de demandes de pulsations.   Cela ne nécessite pas que le serveur soit vulnérable, parce qu'il est seulement à la recherche à côté client, mais il ne nécessitent des demandes de pulsation multiple indicative d'un plus "monde réel" attaque, de sorte qu'une seule "test Probe" ne déclenchera pas la signature.
• 36418: OpenSSL TLS incorrecte réponse de pulsation trouvée-Heartbleed
  cette signature déclenche une réponse de serveur mal formée.   Cela nécessite que le serveur soit vulnérable, en raison des données que cette signature analyse et compare.  Il est efficace contre une seule "sonde", ce qui signifie qu'il n'a pas besoin de demandes en vrac pour déclencher.

propriétaire : jjosephs