Wie kann ich die Erfassung von Bedrohungspaketen für eine bestimmte Anti-Spyware-Signatur aktivieren?
15160
Created On 04/02/19 10:18 AM - Last Modified 03/26/21 17:33 PM
Objective
Hier erfahren Sie, wie Sie die Erfassung von Bedrohungspaketen für eine bestimmte Anti-Spyware-Signatur aktivieren, wenn das Festlegen der Paketerfassung für alle Signaturen nicht wünschenswert ist.
Procedure
Schritt 1: Greifen Sie auf die Registerkarte Ausnahmen im betreffenden Anti-Spyware-Profil zu. Aktivieren Sie Zuerst alle Signaturen anzeigen und suchen Sie nach der Bedrohung ID (z. B. 18927)
Schritt 2: Klicken Sie auf die Dropdown-Liste unter der Registerkarte Paketerfassung. Die Standardoption ist "deaktivieren", wählen Sie "Einzelpaket" oder "erweiterte Erfassung", um die Paketerfassung für die spezifische Bedrohung zu ID aktivieren.
Schritt 3: Aktivieren Sie das Kontrollkästchen unter der Registerkarte Aktivieren (muss aktiviert werden, damit dies wirksam wird).Der wichtige Teil ist zu beachten, dass die unter Ausnahmen für diese Bedrohung erwähnte Aktion ID wirksam wird, sobald dies überprüft wird, sodass auch sichergestellt wird, dass eine geeignete Aktion festgelegt wird.
Klicken OK Sie darauf, und führen Sie danach einen Commit aus.
Schritt 4: PCAPs für Bedrohung ID 18927 (für Datenverkehr, der mit einer Sicherheit übereinstimmt, bei der policy dieses Anti-Spyware-Profil zugeordnet ist) können Sie heruntergeladen werden, indem Sie auf den Grünen Pfeil neben der Bedrohung unter Monitor ID > Bedrohungsprotokolle klicken.
Additional Information
Derselbe Prozess kann für eine bestimmte Vulnerability Signature von der Registerkarte Ausnahmen im Profil "Schutz der Sicherheitsanfälligkeit" befolgt werden. Dies ist möglicherweise nicht geeignet für die Analyse von Vulnerability Signatures, da wir in den meisten Fällen einen vollständigen Stream von PCAP benötigen, um mehr Kontext in Bezug auf den Exploit zu erhalten.