So erstellen Sie eine benutzerdefinierte Bedrohungssignatur

• Dies kann über firewall eine benutzerdefinierte Paketerfassung oder eine Software zur Erfassung/Analyse des Datenverkehrs eines Drittanbieters erfolgen

• Beispiele hierfür sind: Parameterlängen, Code, Antwort- und Typwerte
• Eine vollständige Liste der ganzzahligen Kontexte und der Verwendung finden Sie hier

• Beispiele hierfür sind: Payloads, Header und Bannermuster
• Musteranforderungen für benutzerdefinierte Signaturen finden Sie hier
• Eine vollständige Liste der String-Kontexte und der Verwendung finden Sie hier

• Eine vollständige Liste der Kontextqualifizierer finden Sie hier

3. Erstellen Sie Ihre neue Signatur über ein benutzerdefiniertes Schwachstellen- oder Antispyware-Objekt Gehen Sie auf der firewallRegisterkarte Objekt > Benutzerdefiniertes Objekt
> Sicherheitsanfälligkeit oder Antispyware und wählen Sie dann unten im Feld Hinzufügen aus.firewall GUI 

Der Bildschirm Benutzerdefinierte Signatur (Schwachstelle oder AntiSpyware) wird angezeigt, wo Sie sich standardmäßig auf der Registerkarte Konfiguration befinden.

Ausgefüllte Pflichtfelder:

• Bedrohung ID
  • Geben Sie für eine Schwachstellensignatur eine Zahl ID zwischen 41000 und 45000 ein. Wenn die Ausführung firewall 10.0 oder höher ausführt PAN-OS , kann sie ID auch zwischen 6800001 und 6900000 liegen.
  • Für eine Spyware-Signatur sollte die zwischen ID 15000 und 18000 liegen. Wenn die Version firewall 10.0 oder höher ausgeführt PAN-OS wird, kann sie ID auch zwischen 6900001 und 7000000 liegen.
• Name - Geben Sie den Namen der Bedrohung an.
• Schweregrad: Wählen Sie den Schweregrad der Bedrohung aus.
• Richtung - Client zu Server, Server zu Client, beides

Wenn Sie zur Registerkarte Signatur wechseln, lassen Sie die Signaturoption auf Standard eingestellt (es sei denn, Sie erstellen eine Kombinations-/Brute-Force-Signatur).Fügen Sie eine Signatur hinzu, indem Sie unten in diesem Fenster auf die Schaltfläche Hinzufügen klicken.

Dadurch wird das Standardfenster aufgerufen

• Standard - Geben Sie einen Namen ein, um die Signatur im Feld zu identifizieren.
• Kommentar - Geben Sie eine optionale Beschreibung ein.
• Geordnete Bedingungsübereinstimmung - Wenn die Reihenfolge, in der die Versuche zum firewall Abgleich mit den Signaturdefinitionen wichtig sind, ausgewählt bleiben.
• Geltungsbereich: Geben Sie an, ob diese Signatur für eine vollständige Sitzung oder eine einzelne Transaktion gilt.

Fügen Sie eine Bedingung hinzu, indem Sie unten im Fenster auf Hinzufügen und Bedingung oder Hinzufügen oder Bedingung klicken. Dadurch wird ein Fenster "Neuer Zustand" aufgerufen:

• Wenn Sie einen Zeichenfolgenkontext verwenden, wählen Sie Musterübereinstimmung aus, und geben Sie dann einen regulären Ausdruck Muster an. Optional können Sie auch ein Kontextqualifizierer-Wert-Paar hinzufügen
  • Sie können auch Negieren auswählen, um Bedingungen anzugeben, unter denen die benutzerdefinierte Signatur nicht ausgelöst wird.
• Wenn Sie einen ganzzahligen Kontext verwenden, wählen Sie Gleich, Kleiner Than oder Größer Than aus, und geben Sie dann den gewünschten Übereinstimmungswert ein.

Klicken Sie hier OK , um fertig zu werden

4. Fügen Sie eine Ausnahme für diese Signatur hinzu, um sie zu aktivieren, und bestätigen Sie dann Ihre Signatur
Klicken Sie auf Ihr vorhandenes Sicherheitsprofil für Sicherheitsanfälligkeiten (oder Antispyware), suchen Sie dann auf der Registerkarte Ausnahmen nach der Bedrohung Ihrer Signatur ID und aktivieren Sie sie.

Übernehmen Sie Ihre Änderungen

5. Testen Sie Ihre Signatur 

• Erstellen Sie den Datenverkehr, den Sie mit der Signatur auslösen möchten, neu
• Überprüfen Sie die Registerkarte Überwachen > Protokolle > Bedrohung, um die Übereinstimmung des Datenverkehrs mit der benutzerdefinierten Bedrohungssignatur zu überprüfen.

• Optimieren Sie bei Bedarf Ihre Signatur, indem Sie der Signatur zusätzliche Muster oder Bedingungen hinzufügen
• Wiederholen Sie die