特定のスパイウェア対策シグネチャに対して脅威パケット キャプチャを有効にする方法
18843
Created On 04/02/19 10:18 AM - Last Modified 03/26/21 17:33 PM
Objective
すべてのシグネチャに対してパケット キャプチャを設定することが望ましくない場合に、特定のスパイウェア対策シグネチャに対して脅威パケット キャプチャを有効にする方法を次に示します。
Procedure
ステップ1: スパイウェア対策プロファイル の [例外 ] タブにアクセスします。 [すべての署名を最初に表示]を有効にして脅威 ID を検索する(例:18927)
手順 2: [パケット キャプチャ ] タブの下のドロップダウンをクリックします。 デフォルトのオプションは「無効」、選択"単一パケット"または「拡張キャプチャ」特定の脅威に対するパケットキャプチャを有効に ID します。
手順 3: [ 有効 ] タブの下にあるチェックボックスをオンにします (有効にするには、このチェックボックスをオンにする必要があります)。注意すべき重要な部分は、この脅威の例外に記載されているアクション ID は、このチェックボックスがオンになると有効になるため、適切なアクションも設定されていることを確認します。
OKクリックして、この後コミットを実行します。
手順 4:脅威 ID 18927 の PCAP ( policy このスパイウェア対策プロファイルがマップされているセキュリティに一致するトラフィックの場合)は ID 、監視>脅威ログの下にある脅威の横にある緑色の矢印をクリックしてダウンロードできます。
Additional Information
[脆弱性保護] プロファイルの [ 例外 ] タブから特定の脆弱性のシグネチャに対して同じプロセスを実行できます。 ほとんどの場合、脆弱性に関するコンテキストを取得するために完全なストリームが必要なため、脆弱性のシグネチャを分析するには適さない場合があります PCAP 。