暴力签名和如何调整它们
14801
Created On 07/29/20 18:32 PM - Last Modified 02/05/25 21:19 PM
Objective
在漏洞保护配置文件中,可以在 40XXX 范围内找到蛮力 UTID 签名。
每个都存在于父母/孩子关系中,其中儿童签名必须在几秒钟内被看到 X , Y 以便触发父母签名。 一般来说,儿童签名的默认操作是"允许的",这意味着除非明确配置,否则不会生成日志。
每个父签名都可以调整其 X 和 Y 值,以考虑特定的环境或应用需求。
Environment
所有泛 OS 防火墙
Procedure
1. 确定 policy 您流量从威胁日志(规则)中击中的哪个安全性,以及将漏洞保护配置文件分配给 policy (或分配了哪个配置文件组以及该组中的哪个漏洞保护配置文件
)2。 在 UTID 漏洞保护配置文件的"例外"选项卡中搜索有关签名。 通常最好搜索 ID 许多相同且可能混淆的名称。
3. 选择威胁名称旁边的铅笔来编辑值。
4. 降低 X 值或增加 Y 值。 这将在很大程度上取决于环境,但较小的增长(一次不超过 25%)可以帮助确定环境的阈值应该更正确。