Bruta fuerza firmas y cómo afinarlas
14813
Created On 07/29/20 18:32 PM - Last Modified 02/05/25 21:19 PM
Objective
Las firmas de fuerza bruta se pueden encontrar en el rango 40XXX del , dentro de UTID los perfiles de protección contra vulnerabilidades.
Cada uno existe dentro de una relación padre/hijo, en la que la firma secundaria debe verse X veces en segundos para desencadenar la firma Y principal. En términos generales, las acciones predeterminadas para las firmas secundarias son "permitir", lo que significa que a menos que esté expresamente configurado para hacerlo no generará un registro.
Cada firma principal puede tener sus X Y valores ajustados para tener en cuenta un entorno o necesidades de aplicación determinados.
Environment
Todos los OS Firewalls Pan
Procedure
1. Determine qué seguridad policy está alcanzando el tráfico desde los registros de amenazas (Regla), así como el perfil de protección contra vulnerabilidades se asigna al policy (o qué grupo de perfiles está asignado y qué perfil de protección contra vulnerabilidades está en ese grupo)
2. Busque la UTID firma en cuestión en la pestaña "Excepciones" del perfil de protección contra vulnerabilidades. Por lo general, es mejor buscar el ID como muchos nombres son idénticos y se puede confundir.
3. Seleccione el lápiz junto al nombre de la amenaza para editar los valores.
4. Disminuya el X valor o aumente el Y valor. Esto dependerá en gran medida del medio ambiente, pero los aumentos menores (no más del 25% a la vez) pueden ayudar a determinar cuál debe ser un umbral más correcto para el medio ambiente.