Cómo hacer la captura de paquetes personalizada para el análisis de firmas de vulnerabilidad

Cómo hacer la captura de paquetes personalizada para el análisis de firmas de vulnerabilidad

9596
Created On 10/22/21 17:04 PM - Last Modified 03/02/23 03:09 AM


Objective


Para recopilar la captura de paquetes completos descifrados para el análisis a la firma de vulnerabilidad en caso de falso positivo o falso negativo. 
La captura completa de paquetes es esencial para reproducir el problema en nuestro entorno de laboratorio.

Environment


  • Palo Alto Firewall
  • Cualquier PAN-OS 

Procedure


  • Aunque tenemos una baja tasa de falsos positivos o falsos negativos para la protección contra vulnerabilidades (IPS firma), todavía vemos algunos casos en los que hemos identificado erróneamente una amenaza o la hemos perdido.
  • En casos de falsos positivos, necesitamos la captura completa de paquetes descifrados; en el caso de los falsos negativos, necesitamos tanto la captura completa de paquetes descifrados como los registros de amenazas relevantes.
Paso 1: Captura de paquetes.
  1. Captura ampliada de paquetes de amenazas:
  • Las firmas de spyware se pueden analizar mediante la captura extendida de paquetes de amenazas en la mayoría de los casos, excepto en unos pocos. Puede encontrar cómo habilitar la captura extendida de paquetes de amenazas en Tomar una captura de paquetes de amenazas. Para la firma de vulnerabilidad, a veces el paquete de amenaza extendido puede ser útil.
  1. Captura de tráfico en el endpoint:
  • Uno puede capturar el tráfico en los puntos finales ya sea en el cliente o servidor. El HTTPS tráfico se puede descifrar SSL utilizando un navegador (Chrome o Firefox) y Wireshark, Cómo descifrar SSL es un artículo que lo explica.
  • Para no SSL tráfico, se puede capturar en el cliente o servidor.
  1. Captura en la pestaña monitor Firewall :
  • Defina los criterios de captura de paquetes lo más estrechos posible.
    • Por ejemplo, seleccione Interfaz de entrada, Dirección de origen, Dirección de destino, Puerto de origen, Puerto de destino, Protocolo ( ICMP, IPV4, , RDPIGMP), Puerto de origen IP y Puerto de destinoIP. La selección también va a No IPv6IP o IPv6.
    • Limitar la captura en el recuento de bytes y paquetes
  • Asegúrese de que el descifrado esté habilitado en el tráfico interesante
  • Habilite el espejo del puerto de descifrado para capturar el tráfico. Configurar la duplicación del puerto de descifrado explica los pasos.
Paso 2: Registros de amenazas
  • Al tomar la captura de paquetes, tome los registros de amenazas y tráfico asociados. Necesitamos registros de amenazas porque usamos registros de amenazas para que coincidan con el paquete que realmente desencadenó la amenaza.
Paso 3: Información adicional en caso de pruebas de pluma
  • En caso de que esté haciendo una prueba de pluma o utilizando el dispositivo de prueba externo, proporcione la siguiente información
    • El nombre del dispositivo y la versión del software
    • Algunos dispositivos, como el punto de ruptura y mu-dinámico, facilitan la captura en sí mismos; Tome la captura en dispositivos de prueba.
  • Si está utilizando una herramienta de prueba de pluma que necesita una licencia, como Cobal Strick, sería mejor que el cliente proporcionara la captura.
  • Agregue su Firewall PAN-OS versión y la vulnerabilidad actual instalada en el Firewallarchivo .
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004M4YCAU&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language