Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
So erstellen Sie eine benutzerdefinierte Bedrohungssignatur - Knowledge Base - Palo Alto Networks

So erstellen Sie eine benutzerdefinierte Bedrohungssignatur

21147
Created On 07/08/22 18:15 PM - Last Modified 05/09/23 08:05 AM


Objective


Hier finden Sie Anleitungen zum Erstellen benutzerdefinierter Bedrohungssignaturen.

Environment


Palo Alto Firewall

Procedure


1. Erfassen Sie den Datenverkehr, für den Sie eine Signatur erstellen möchten2. Identifizieren Sie den Kontexttyp, den Sie für die Signatur verwenden möchten: Integer oder String
Integer-Kontext: Wird für Gleichheitsoperatoren verwendet, die kleiner als, größer und gleich vergleichen
  • Beispiele hierfür sind: Parameterlängen, Code, Antwort- und Typwerte
  • Eine vollständige Liste der ganzzahligen Kontexte und der Verwendung finden Sie hier
String Context: wird für den Mustervergleich verwendet
  • Beispiele hierfür sind: Payloads, Header und Bannermuster
  • Musteranforderungen für benutzerdefinierte Signaturen finden Sie hier
  • Eine vollständige Liste der String-Kontexte und der Verwendung finden Sie hier
(Fakultativ) Möglicherweise möchten Sie auch Kontextqualifizierer einbeziehen. Qualifizierer verringern die Wahrscheinlichkeit von Fehlalarmen, indem sie einen Siganture-Trigger nur dann zulassen, wenn der das firewall Muster oder den Wert innerhalb eines bestimmten Qualifizierers erkennt, der einem bestimmten Kontext entspricht (z HTTP GET . B. versus POST oder FTP MODE, LIST, TEST)
  • Eine vollständige Liste der Kontextqualifizierer finden Sie hier

3. Erstellen Sie Ihre neue Signatur über ein benutzerdefiniertes Schwachstellen- oder Antispyware-Objekt Gehen Sie auf der firewallRegisterkarte Objekt > Benutzerdefiniertes Objekt
> Sicherheitsanfälligkeit oder Antispyware und wählen Sie dann unten im Feld Hinzufügen aus.firewall GUI 

Bild.png
Der Bildschirm Benutzerdefinierte Signatur (Schwachstelle oder AntiSpyware) wird angezeigt, wo Sie sich standardmäßig auf der Registerkarte Konfiguration befinden.

Bild.png

Ausgefüllte Pflichtfelder:

  • Bedrohung ID
    • Geben Sie für eine Schwachstellensignatur eine Zahl ID zwischen 41000 und 45000 ein. Wenn die Ausführung firewall 10.0 oder höher ausführt PAN-OS , kann sie ID auch zwischen 6800001 und 6900000 liegen.
    • Für eine Spyware-Signatur sollte die zwischen ID 15000 und 18000 liegen. Wenn die Version firewall 10.0 oder höher ausgeführt PAN-OS wird, kann sie ID auch zwischen 6900001 und 7000000 liegen.
  • Name - Geben Sie den Namen der Bedrohung an.
  • Schweregrad: Wählen Sie den Schweregrad der Bedrohung aus.
  • Richtung - Client zu Server, Server zu Client, beides

Wenn Sie zur Registerkarte Signatur wechseln, lassen Sie die Signaturoption auf Standard eingestellt (es sei denn, Sie erstellen eine Kombinations-/Brute-Force-Signatur).Fügen Sie eine Signatur hinzu, indem Sie unten in diesem Fenster auf die Schaltfläche Hinzufügen klicken.
Bild.png
Dadurch wird das Standardfenster aufgerufen

Bild.png

Felder, die in diesem Fenster ausgefüllt werden müssen:
  • Standard - Geben Sie einen Namen ein, um die Signatur im Feld zu identifizieren.
  • Kommentar - Geben Sie eine optionale Beschreibung ein.
  • Geordnete Bedingungsübereinstimmung - Wenn die Reihenfolge, in der die Versuche zum firewall Abgleich mit den Signaturdefinitionen wichtig sind, ausgewählt bleiben.
  • Geltungsbereich: Geben Sie an, ob diese Signatur für eine vollständige Sitzung oder eine einzelne Transaktion gilt.

Fügen Sie eine Bedingung hinzu, indem Sie unten im Fenster auf Hinzufügen und Bedingung oder Hinzufügen oder Bedingung klicken. Dadurch wird ein Fenster "Neuer Zustand" aufgerufen:

Bild.png

Wählen Sie einen Operator aus dem Dropdown-Menü aus, um die Bedingungen zu definieren, die erfüllt sein müssen, damit die Signatur mit dem Datenverkehr übereinstimmt.
  • Wenn Sie einen Zeichenfolgenkontext verwenden, wählen Sie Musterübereinstimmung aus, und geben Sie dann einen regulären Ausdruck Muster an. Optional können Sie auch ein Kontextqualifizierer-Wert-Paar hinzufügen
    • Sie können auch Negieren auswählen, um Bedingungen anzugeben, unter denen die benutzerdefinierte Signatur nicht ausgelöst wird.
  • Wenn Sie einen ganzzahligen Kontext verwenden, wählen Sie Gleich, Kleiner Than oder Größer Than aus, und geben Sie dann den gewünschten Übereinstimmungswert ein.

Klicken Sie hier OK , um fertig zu werden

4. Fügen Sie eine Ausnahme für diese Signatur hinzu, um sie zu aktivieren, und bestätigen Sie dann Ihre Signatur
Klicken Sie auf Ihr vorhandenes Sicherheitsprofil für Sicherheitsanfälligkeiten (oder Antispyware), suchen Sie dann auf der Registerkarte Ausnahmen nach der Bedrohung Ihrer Signatur ID und aktivieren Sie sie.

Bild.png
Übernehmen Sie Ihre Änderungen

5. Testen Sie Ihre Signatur 

  • Erstellen Sie den Datenverkehr, den Sie mit der Signatur auslösen möchten, neu
  • Überprüfen Sie die Registerkarte Überwachen > Protokolle > Bedrohung, um die Übereinstimmung des Datenverkehrs mit der benutzerdefinierten Bedrohungssignatur zu überprüfen.
Bild.png
  • Optimieren Sie bei Bedarf Ihre Signatur, indem Sie der Signatur zusätzliche Muster oder Bedingungen hinzufügen
  • Wiederholen Sie die
   
Hinweis: Die benutzerdefinierte Signatur ist standardmäßig in allen Profilen zum Schutz vor Sicherheitslücken aktiviert.

Um die benutzerdefinierte Signatur auf ein einzelnes Profil anzuwenden, definieren Sie den Schweregrad als "informativ" und die Standardaktion in der Signaturdefinition als "Zulassen".
Erstellen Sie dann eine Bedrohungsausnahme im Vulnerability Protection-Profil, in dem Sie sie aktivieren möchten, aktivieren Sie das Kontrollkästchen "Aktivieren" in der Ausnahme und ändern Sie die Aktion der Signatur so, dass die Standardeinstellung "Zulassen" außer Kraft gesetzt wird.
Der Grund für das Festlegen des Schweregrads einer Signatur auf "Information" besteht darin, dass sie andernfalls mit allen Regeln des Schwachstellenprofils übereinstimmt, die wahrscheinlich mit Aktionen nach Schweregrad der Schwachstelle definiert sind, und am Ende die in der benutzerdefinierten Schwachstellensignatur definierte Standardaktion "Zulassen" außer Kraft setzt.
Diese Lösung funktioniert, wenn die Regel für Sicherheitslücken mit dem Informationsschweregrad in allen Regeln zum Schutz vor Sicherheitsanfälligkeiten entweder fehlt oder so festgelegt ist, dass die Standardaktion der Signatur ausgeführt wird.


Additional Information




Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CqQ1CAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language