¿Cómo habilitar la captura de paquetes de amenazas para una firma anti-Spyware específica?
15146
Created On 04/02/19 10:18 AM - Last Modified 03/26/21 17:33 PM
Objective
Aquí está cómo habilitar la captura de paquetes de amenazas para una firma anti-spyware específica si la configuración de la captura de paquetes para todas las firmas no es deseable.
Procedure
Paso 1: Acceda a la pestaña Excepciones en el perfil antispyware correspondiente. Habilite mostrar todas las firmas primero y busque el paso 2 de la amenaza ID (por ejemplo, 18927): haga clic en el menú desplegable debajo de la lengueta de la captura de paquetes.
La opción predeterminada es "desactivar", seleccionar "paquete único" o "captura extendida" para habilitar la captura de paquetes para la amenaza ID específica.
Paso 3: Marque la casilla debajo de la lengueta del permiso (se debe marcar para que esto surta efecto).La parte importante a tener en cuenta es que la acción mencionada en Excepciones para esta amenaza ID surtirá efecto una vez que se compruebe, así que asegúrese de que también se establece una acción adecuada.
Haga clic OK y realice una confirmación después de esto.
Paso 4: PCAP para la amenaza ID 18927 (para el tráfico que coincide con una seguridad policy donde se asigna este perfil anti-spyware) se puede descargar haciendo clic en Flecha verde junto a la amenaza bajo monitorear > registros ID de amenazas.
Additional Information
Se puede seguir el mismo proceso para una firma de vulnerabilidad específica desde la pestaña Excepciones del perfil protección contra vulnerabilidades. Esto puede no ser apropiado para analizar firmas de vulnerabilidad, ya que necesitamos una secuencia completa de en la mayoría de PCAP los casos para obtener más contexto con respecto al exploit.