Cómo crear una firma de amenaza personalizada
Objective
Proporcionar orientación sobre cómo crear firmas de amenazas personalizadas.
Environment
Palo Alto Firewall
Procedure
1. Capture el tráfico para el que desea crear una firma
- Esto se puede hacer a través de una captura de paquetes personalizada o un software de captura / analizador de firewall tráfico de terceros.
Contexto entero: se usa para operadores de igualdad que comparan menor que, mayor que e igual que
- Algunos ejemplos son: longitudes de parámetros, código, respuesta y valores de tipo
- La lista completa de contextos enteros y uso se puede encontrar aquí
- Los ejemplos incluyen: cargas útiles, encabezados y patrones de banner
- Los requisitos de patrón para firmas personalizadas se pueden encontrar aquí
- La lista completa de contextos de cadena y uso se puede encontrar aquí
- La lista completa de clasificatorios de contexto se puede encontrar aquí
3. Cree su nueva firma a través de un objeto
Vulnerabilidad personalizada o Antispyware En el , vaya a la pestaña Objeto > Vulnerabilidad de > de objetos personalizados o Antispyware y, a continuación, seleccione Agregar en la parte inferior de la firewall firewallcarpeta GUI
Aparecerá la pantalla Firma personalizada (vulnerabilidad o antispyware) donde se encontrará en la pestaña Configuración de forma predeterminada.
Campos obligatorios a rellenar:
- Amenaza ID
- Para una firma de vulnerabilidad, introduzca un número ID entre 41000 y 45000. Si se firewall ejecuta PAN-OS 10.0 o posterior, también ID puede estar entre 6800001 y 6900000.
- Para una firma de spyware, debe ID estar entre 15000 y 18000. Si se firewall ejecuta PAN-OS 10.0 o posterior, también ID puede estar entre 6900001 y 7000000.
- Nombre: especifique el nombre de la amenaza.
- Gravedad: seleccione la gravedad de la amenaza.
- Dirección: cliente a servidor, servidor a cliente, ambos
Pasando a la pestaña Firma, deje la opción de firma establecida en estándar (a menos que esté creando una firma combinada/fuerza bruta).Agregue una firma con el botón Agregar en la parte inferior de esta ventana.
Esto abrirá la ventana Estándar
- Estándar: escriba un nombre para identificar la firma en el campo.
- Comentario: introduzca una descripción opcional.
- Coincidencia de condición ordenada: si el orden en que los intentos de hacer coincidir las definiciones de firewall firma es importante, manténgase seleccionado.
- Alcance: indique si esta firma se aplica a una sesión completa o a una sola transacción.
Agregue una condición haciendo clic en Agregar y condición o Agregar o condición en la parte inferior de la ventana. Esto sacará una ventana Nueva condición:
Seleccione un operador en el menú desplegable para definir las condiciones que deben cumplirse para que la firma coincida con el tráfico.- Si está utilizando un contexto de cadena, seleccione Coincidencia de patrón y, a continuación, proporcione una expresión regular Pattern. Opcionalmente, también puede agregar un par calificador/valor de contexto
- También puede seleccionar Negate para especificar las condiciones en las que no se activa la firma personalizada.
- Si utiliza un contexto entero, seleccione Igual a, Menos que o Mayor que y, a continuación, escriba el valor de coincidencia deseado.
Haga clic OK para finalizar
4. Agregue una excepción para esta firma para habilitar y, a continuación, confirme su firma Haga clic en su perfil de seguridad de vulnerabilidad (o antispyware) existente y, a continuación, en la pestaña Excepciones, busque la amenaza ID de su firma
y habilítela.
Confirma los cambios
5. Prueba tu firma
- Recrea el tráfico que intentas activar con la firma
- Marque la pestaña Monitor > Registros > amenaza para verificar la coincidencia de tráfico en la firma de amenaza personalizada.
- Si es necesario, ajuste su firma agregando patrones o condiciones adicionales a la firma
- repetir
Para aplicar la firma personalizada a un único perfil, defina su gravedad como "informativa" y la acción predeterminada en la definición de firma como "permitir".
A continuación, cree una excepción de amenaza en el perfil de protección contra vulnerabilidades donde desea activarla, marque la casilla de verificación "habilitar" en la excepción y cambie la acción de la firma para anular la opción predeterminada "permitir".
La razón detrás de establecer la gravedad de una firma en informativa es que, de lo contrario, coincidirá con todas las reglas del perfil de vulnerabilidad, que probablemente se definan con acciones por gravedad de vulnerabilidad, y terminará anulando la acción de permiso predeterminada definida en la firma de vulnerabilidad personalizada.
Esta solución funcionará si falta la regla para vulnerabilidades de gravedad informativa en todas las reglas de protección contra vulnerabilidades o está configurada para ejecutar la acción predeterminada de la firma.