Comment effectuer la capture de paquets personnalisée pour l’analyse des signatures de vulnérabilité

Comment effectuer la capture de paquets personnalisée pour l’analyse des signatures de vulnérabilité

9598
Created On 10/22/21 17:04 PM - Last Modified 03/02/23 03:09 AM


Objective


Pour collecter la capture complète de paquets déchiffrés pour l’analyse de la signature de vulnérabilité en cas de faux positif ou faux négatif. 
La capture complète des paquets est essentielle pour reproduire le problème dans notre environnement de laboratoire.

Environment


  • Palo Alto (Palo Alto) Firewall
  • Quelconque PAN-OS 

Procedure


  • Bien que nous ayons un faible taux de faux positifs ou de faux négatifs pour la protection contre les vulnérabilités (IPS signature), nous voyons encore des cas où nous avons mal identifié une menace ou l’avons manquée.
  • Dans les cas de faux positifs, nous avons besoin d’une capture complète de paquets décryptés; dans le cas des faux négatifs, nous avons besoin à la fois d’une capture complète de paquets déchiffrés et de journaux de menaces pertinents.
Étape 1: Capture de paquets.
  1. Capture étendue des paquets de menaces :
  • Les signatures des logiciels espions peuvent être analysées par capture étendue des paquets de menaces dans la plupart des cas, sauf quelques-uns. Vous trouverez comment activer la capture étendue des paquets de menaces à la page Prise d’une capture de paquets de menaces. Pour la signature de vulnérabilité, le paquet de menace étendu peut parfois être utile.
  1. Capture du trafic sur le point de terminaison :
  • On peut capturer le trafic sur les points de terminaison sur le client ou le serveur. Le HTTPS trafic peut être décrypté SSL à l’aide d’un navigateur (chrome ou Firefox) et Wireshark, Comment décrypter SSL est un article qui l’explique.
  • Pour pas SSL de trafic, il peut être capturé sur le client ou le serveur.
  1. Capture dans l’onglet du Firewall moniteur :
  • Définissez les critères de capture de paquets aussi étroits que possible.
    • Par exemple, sélectionnez Interface d’entrée, Adresse source, Adresse de destination, Port source, Port de destination, protocole ( ICMP, IPV4, , RDP), IGMPPort source IP et Port de destinationIP. La sélection passe également à Non-IP ou IPv6.
    • Limiter la capture sur le nombre d’octets et le nombre de paquets
  • Assurez-vous que le décryptage est activé sur le trafic intéressant
  • Activez le miroir du port de déchiffrement pour capturer le trafic. Configurer la mise en miroir des ports de déchiffrement explique les étapes.
Étape 2 : Journaux des menaces
  • Lorsque vous effectuez la capture de paquets, veuillez prendre les journaux de menace et de trafic associés. Nous avons besoin de journaux de menaces car nous utilisons des journaux de menaces pour correspondre au paquet qui a réellement déclenché la menace.
Étape 3: Informations supplémentaires en cas de test d’intrusion
  • Si vous effectuez un test d’intrusion ou utilisez le dispositif de test externe, veuillez fournir les informations suivantes
    • Le nom de l’appareil et la version du logiciel
    • Certains dispositifs, tels que le point de rupture et le mu-dynamic, facilitent la capture sur eux-mêmes; Veuillez prendre la capture sur les appareils de test.
  • Si vous utilisez un outil de test d’intrusion nécessitant une licence, tel que Cobal Strick, il serait préférable que le client fournisse la capture.
  • Veuillez ajouter votre Firewall PAN-OS version et la vulnérabilité actuelle installée sur le Firewallfichier .
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004M4YCAU&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language