如何启用特定反间谍软件签名的威胁数据包捕获?
15158
Created On 04/02/19 10:18 AM - Last Modified 03/26/21 17:33 PM
Objective
如果无法为所有签名设置数据包捕获,则如何为特定的反间谍软件签名启用威胁数据包捕获。
Procedure
第 1 步: 访问相关反间谍软件配置文件中的 异常 选项卡。 启用首先显示所有签名并搜索威胁 ID (例如,18927)
步骤 2: 单击 "数据包捕获 "选项卡下方的下拉。 默认选项是"禁用",选择"单包"或"扩展捕获",以启用特定威胁的分组捕获 ID 。
第 3 步: 选中 启用 选项卡下的框(必须检查此框才能生效)。需要注意的重要部分是,此威胁 例外 中提及的行动 ID 将在检查后生效,因此请确保也设置适当的操作。
在此 OK 之后单击并执行提交。
第 4 步: 可 ID policy 通过单击"监视器">威胁日志下的威胁旁边的 绿色箭头 来下载威胁 18927 的 PCAP(用于匹配此反间谍软件配置文件的安全问题 ID 的流量)。
Additional Information
从漏洞保护配置文件中的 "异常 "选项卡中执行特定的漏洞签名,可以遵循相同的流程。 这可能不适合分析漏洞签名,因为在大多数情况下,我们需要完整的流 PCAP 来获取有关漏洞的更多上下文。