Comment whitelist vulnerability scanner de IPS /Vulnerability

Comment whitelist vulnerability scanner de IPS /Vulnerability

40585
Created On 03/19/20 18:49 PM - Last Modified 02/09/23 18:56 PM


Objective


Les scanners de vulnérabilité tels que Qualys et Rapid 7 sont fréquemment utilisés pour identifier les PA vulnérabilités sur les pare-feu ainsi que sur les ressources derrière les pare-feu pour la conformité.Le trafic de ces scanners crée une quantité écrasante de journaux de menaces, pour la plupart faux positifs. Ce document couvre les étapes de configuration pour permettre en toute sécurité l’analyse de vulnérabilité pour les ressources derrière le pendant un temps limité, et de réduire la firewall surface de menace en n’exposant pas les services standard.

Environment


  • Scanners de vulnérabilité tels que Qualys, Rapid 7, Nessus ou autre.
  • Serveurs Web ou autres ressources derrière le Firewall .
  • PAN-OS 8.0.x et plus

Procedure


Vous pouvez simplement ajouter une exception de menace et créer une nouvelle policy pour le trafic scanner. Cette solution est plus adaptée lorsqu’une analyse de vulnérabilité n’est effectuée qu’une ou deux fois par an. 

1. Créez une nouvelle sécurité policy et un nouveau profil de sécurité avec une menace, des logiciels espions et des exceptions anti-virus.
  • Supposons que vous êtes en cours d’exécution du scanner à partir de votre LAN .
  • Dressez une liste des logiciels espions ID et de menaces qui ont été déclenchés pendant l’analyse.
  • Créez un nouveau profil de menace sous la protection des vulnérabilités > objets-> et ajoutez <name such="" as="" profile_for_qualys="">l’exception pour toutes les adresses d’évaluation des menaces qui ont été déclenchées.</name> Dans l’exception, modifiez l’action comme le permettent.
  • Créez maintenant une nouvelle sécurité Policy permettant au scanner IP d’avoir accès à partir ou à vos LAN éléments suivants.
    • Nom: Certains noms utiles tels que autoriser-pour-scanner
    • Onglet Zone source : Zone à laquelle appartient le scanner.
    • Onglet Adresse source : Adresse du IP scanner
    • Onglet Destination: Destination Zone
    • Onglet URL Service/Catégorie : ANY et onglet Action : autoriser.
    • Action tab-> paramètres de profil: Vous pouvez soit le laisser vide ou utiliser les profils nouvellement créés seront toutes les exceptions.
    • Maintenant, placez la nouvelle Policy sécurité (dans ce cas permettre-pour-scanner) au-dessus de la policy sécurité avant le trafic pour policy d’autres dans cette zone. S’il vous plaît assurez-vous que lorsque le scanner envoie le trafic, c’est le policy premier qui correspond.
2. Protection de reconnaissance Exception :
  • Dans le cas où le scanner est également en cours d’exécution de la reconnaissance et que vous voulez le permettre, s’il vous plaît liste blanche du scanner IP de la protection de reconnaissance.
  • Ce paramètre peut être effectué sur le profil de protection network >Zone >Zone >Reconnaissance Protection >Source Address Exclusion >Add
  • La liste prend en charge un maximum de 20 IP adresses ou objets d’adresse Netmask.

Additional Information


 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PPAiCAO&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language