So führen Sie die benutzerdefinierte Paketerfassung für die Analyse von Schwachstellensignaturen durch

So führen Sie die benutzerdefinierte Paketerfassung für die Analyse von Schwachstellensignaturen durch

9588
Created On 10/22/21 17:04 PM - Last Modified 03/02/23 03:09 AM


Objective


Um die entschlüsselte vollständige Paketerfassung für die Analyse der Schwachstellensignatur im Falle von falsch positiv oder falsch negativ zu erfassen. 
Eine vollständige Paketerfassung ist unerlässlich, um das Problem in unserer Laborumgebung zu reproduzieren.

Environment


  • Palo Alto Firewall
  • Jegliche PAN-OS 

Procedure


  • Obwohl wir eine niedrige False-Positive- oder False-Negative-Rate für den Schutz vor Schwachstellen (IPS Signatur) haben, sehen wir immer noch einige Fälle, in denen wir eine Bedrohung entweder falsch identifiziert oder übersehen haben.
  • In falsch positiven Fällen benötigen wir eine vollständig entschlüsselte Paketerfassung. Im Falle von False Negative benötigen wir sowohl eine vollständig entschlüsselte Paketerfassung als auch relevante Bedrohungsprotokolle.
Schritt-1: Paketerfassung.
  1. Erweiterte Erfassung von Bedrohungspaketen:
  • Die Spyware-Signaturen können in den meisten Fällen mit Ausnahme einiger weniger durch erweiterte Bedrohungspaketerfassung analysiert werden. Wie Sie die erweiterte Erfassung von Bedrohungspaketen aktivieren, finden Sie unter Erfassen eines Bedrohungspakets. Für die Schwachstellensignatur kann manchmal das erweiterte Bedrohungspaket nützlich sein.
  1. Erfassung des Datenverkehrs auf dem Endpunkt:
  • Man kann den Datenverkehr auf den Endpunkten entweder auf dem Client oder auf dem Server erfassen. Der HTTPS Datenverkehr kann mit einem Browser (Chrome oder Firefox) und Wireshark entschlüsselt SSL werden, wie man entschlüsselt SSL ist ein Artikel, der es erklärt.
  • Wenn kein Datenverkehr vorhanden SSL ist, kann er auf dem Client oder Server erfasst werden.
  1. Erfassen auf der Firewall Registerkarte "Monitor":
  • Definieren Sie die Paketerfassungskriterien so eng wie möglich.
    • Wählen Sie beispielsweise Eingangsschnittstelle, Quelladresse, Zieladresse, Quellport, Zielport, Protokoll ( ICMP, IPV4, , RDP), IGMPQuellport IP und Zielport IP aus. Die Auswahl geht auch auf Non-IP oder IPv6.
    • Beschränken der Erfassung auf Byte- und Paketanzahl
  • Stellen Sie sicher, dass die Entschlüsselung für den interessanten Datenverkehr aktiviert ist
  • Aktivieren Sie den Entschlüsselungsportspiegel, um den Datenverkehr zu erfassen. Konfigurieren der Entschlüsselungsportspiegelung erläutert die Schritte.
Schritt 2: Bedrohungsprotokolle
  • Wenn Sie die Paketerfassung durchführen, nehmen Sie bitte die zugehörigen Bedrohungs- und Datenverkehrsprotokolle. Wir benötigen Bedrohungsprotokolle, da wir Bedrohungsprotokolle verwenden, um das Paket abzugleichen, das die Bedrohung tatsächlich ausgelöst hat.
Schritt-3: Zusätzliche Informationen im Falle von Pen-Tests
  • Falls Sie einen Pen-Test durchführen oder das externe Testgerät verwenden, geben Sie bitte folgende Informationen an:
    • Der Name des Geräts und die Softwareversion
    • Einige Geräte, wie Sollbruchstelle und mu-dynamisch, erleichtern die Erfassung auf sich selbst; Bitte nehmen Sie die Erfassung auf Testgeräten vor.
  • Wenn Sie ein Pen-Test-Tool verwenden, das eine Lizenz benötigt, z. B. Cobal Strick, ist es am besten, wenn der Kunde die Erfassung bereitstellt.
  • Bitte fügen Sie Ihre Firewall PAN-OS Version und die aktuelle Sicherheitslücke hinzu, die auf der Firewall.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004M4YCAU&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language