Comment activer la capture de paquets de menaces pour une signature anti-spyware spécifique ?
15156
Created On 04/02/19 10:18 AM - Last Modified 03/26/21 17:33 PM
Objective
Voici comment activer la capture de paquets de menaces pour une signature anti-spyware spécifique si le réglage de la capture de paquets pour toutes les signatures n’est pas souhaitable.
Procedure
Étape 1: Accédez à l’onglet Exceptions dans le profil anti-spyware concerné. Activez Afficher toutes les signatures en premier et recherchez la menace ID (p. ex., 18927)
Étape 2 : Cliquez sur la baisse en dessous de l’onglet Capture de paquets. L’option par défaut est « désactiver », sélectionner « paquet unique » ou « capture étendue » pour activer la capture de paquets pour la menace ID spécifique.
Étape 3 : Cochez la case sous l’onglet Activer (doit être cochée pour que cela prenne effet).La partie importante à noter est que l’action mentionnée dans exceptions pour cette menace ID prendra effet une fois que cela est vérifié, afin de s’assurer qu’une action appropriée est définie ainsi.
Cliquez OK et effectuez un commit après cela.
Étape 4 : Les PCAPs pour Threat ID 18927 (pour le trafic correspondant à une sécurité policy où ce profil anti-spyware est cartographié) peuvent être téléchargés en cliquant sur la Flèche Verte à côté de la menace sous les journaux Monitor > ID Threat.
Additional Information
Le même processus peut être suivi pour une signature de vulnérabilité spécifique à partir de l’onglet Exceptions dans le profil de protection des vulnérabilités. Cela peut ne pas être approprié pour analyser les signatures de vulnérabilité que nous avons besoin d’un flux complet de PCAP dans la plupart des cas pour obtenir plus de contexte concernant l’exploit.