脆弱性シグネチャ分析のためのカスタム パケット キャプチャの実行方法
9586
Created On 10/22/21 17:04 PM - Last Modified 03/02/23 03:09 AM
Objective
False Positive または False Negative の場合に脆弱性署名を分析するために、復号化された完全なパケット キャプチャを収集します。
ラボ環境で問題を再現するには、完全なパケット キャプチャが不可欠です。
Environment
- パロアルト Firewall
- どれでもPAN-OS
Procedure
- 脆弱性保護の誤検知率または偽陰性率は低いですが(IPS signature) 脅威を誤認したり、見逃したりするケースがまだいくつか見られます。
- 誤検知の場合、完全に復号化されたパケット キャプチャが必要です。 False Negative の場合、復号化された完全なパケット キャプチャと関連する脅威ログの両方が必要です。
- 拡張脅威パケット キャプチャ:
- スパイウェア シグネチャは、一部を除いてほとんどの場合、拡張脅威パケット キャプチャによって分析できます。 拡張脅威パケット キャプチャを有効にする方法については、次の URL を参照してください。脅威パケット キャプチャの取得. 脆弱性シグネチャの場合、拡張脅威パケットが役立つ場合があります。
- エンドポイントでのトラフィック キャプチャ:
- クライアントまたはサーバーのエンドポイントでトラフィックをキャプチャできます。 のHTTPSトラフィックを復号化できますSSLブラウザー (chrome または Firefox) と Wireshark を使用して、解読方法SSLそれを解説した記事です。
- しないためにSSLトラフィックは、クライアントまたはサーバーでキャプチャできます。
- でのキャプチャFirewall監視タブ:
- パケット キャプチャ基準をできるだけ狭く定義します。
- たとえば、入力インターフェイス、ソースを選択します。IP住所、目的地IPアドレス、送信元ポート、宛先ポート、プロトコル (ICMP 、IPV4、RDP 、IGMP )、送信元ポート、および宛先ポート。 選択は、Non-IPまたはIPv6。
- バイト数とパケット数でキャプチャを制限する
- 対象トラフィックで復号化が有効になっていることを確認してください
- 復号化ポート ミラーを有効にして、トラフィックをキャプチャします。 復号化ポート ミラーリングの構成手順を説明します。
- パケット キャプチャを取得する際は、関連する脅威とトラフィック ログを取得してください。 脅威ログを使用して、実際に脅威をトリガーしたパケットを照合するため、脅威ログが必要です。
- 侵入テストを行っている場合、または外部テスト デバイスを使用している場合は、次の情報を提供してください。
- デバイスの名前とソフトウェア バージョン
- ブレークポイントやミューダイナミックなどの一部のデバイスは、それ自体でキャプチャを容易にします。テストデバイスでキャプチャしてください。
- Cobal Strick などのライセンスが必要な侵入テスト ツールを使用している場合は、顧客がキャプチャを提供するのが最善です。
- 追加してくださいFirewallPAN-OSにインストールされているバージョンと現在の脆弱性Firewall.