Cómo crear una firma de amenaza personalizada

Cómo crear una firma de amenaza personalizada

12718
Created On 07/08/22 18:15 PM - Last Modified 05/09/23 08:05 AM


Objective


Proporcionar orientación sobre cómo crear firmas de amenazas personalizadas.

Environment


Palo Alto Firewall

Procedure


1. Capture el tráfico para el que desea crear una firma
  • Esto se puede hacer a través de una captura de paquetes personalizada o un software de captura / analizador de firewall tráfico de terceros.
2. Identifique el tipo de contexto que utilizará para la firma: Entero o Cadena
Contexto entero: se usa para operadores de igualdad que comparan menor que, mayor que e igual que
  • Algunos ejemplos son: longitudes de parámetros, código, respuesta y valores de tipo
  • La lista completa de contextos enteros y uso se puede encontrar aquí
String Context: se usa para la comparación de patrones
  • Los ejemplos incluyen: cargas útiles, encabezados y patrones de banner
  • Los requisitos de patrón para firmas personalizadas se pueden encontrar aquí
  • La lista completa de contextos de cadena y uso se puede encontrar aquí
(Opcional) También es posible que desee incorporar calificadores de contexto. Los calificadores reducen la posibilidad de falsos positivos al permitir un desencadenador de siganture solo cuando detecta firewall el patrón o valor dentro de un calificador específico, que corresponde a un contexto específico (como HTTP GET versus POST o FTP MODE, LISTTEST)
  • La lista completa de clasificatorios de contexto se puede encontrar aquí

3. Cree su nueva firma a través de un objeto
Vulnerabilidad personalizada o Antispyware En el , vaya a la pestaña Objeto > Vulnerabilidad de > de objetos personalizados o Antispyware y, a continuación, seleccione Agregar en la parte inferior de la firewall firewallcarpeta GUI 

Image.png
Aparecerá la pantalla Firma personalizada (vulnerabilidad o antispyware) donde se encontrará en la pestaña Configuración de forma predeterminada.

Image.png

Campos obligatorios a rellenar:

  • Amenaza ID
    • Para una firma de vulnerabilidad, introduzca un número ID entre 41000 y 45000. Si se firewall ejecuta PAN-OS 10.0 o posterior, también ID puede estar entre 6800001 y 6900000.
    • Para una firma de spyware, debe ID estar entre 15000 y 18000. Si se firewall ejecuta PAN-OS 10.0 o posterior, también ID puede estar entre 6900001 y 7000000.
  • Nombre: especifique el nombre de la amenaza.
  • Gravedad: seleccione la gravedad de la amenaza.
  • Dirección: cliente a servidor, servidor a cliente, ambos

Pasando a la pestaña Firma, deje la opción de firma establecida en estándar (a menos que esté creando una firma combinada/fuerza bruta).Agregue una firma con el botón Agregar en la parte inferior de esta ventana.
Image.png
Esto abrirá la ventana Estándar

Image.png

Campos para completar en esta ventana:
  • Estándar: escriba un nombre para identificar la firma en el campo.
  • Comentario: introduzca una descripción opcional.
  • Coincidencia de condición ordenada: si el orden en que los intentos de hacer coincidir las definiciones de firewall firma es importante, manténgase seleccionado.
  • Alcance: indique si esta firma se aplica a una sesión completa o a una sola transacción.

Agregue una condición haciendo clic en Agregar y condición o Agregar o condición en la parte inferior de la ventana. Esto sacará una ventana Nueva condición:

Image.png

Seleccione un operador en el menú desplegable para definir las condiciones que deben cumplirse para que la firma coincida con el tráfico.
  • Si está utilizando un contexto de cadena, seleccione Coincidencia de patrón y, a continuación, proporcione una expresión regular Pattern. Opcionalmente, también puede agregar un par calificador/valor de contexto
    • También puede seleccionar Negate para especificar las condiciones en las que no se activa la firma personalizada.
  • Si utiliza un contexto entero, seleccione Igual a, Menos que o Mayor que y, a continuación, escriba el valor de coincidencia deseado.

Haga clic OK para finalizar

4. Agregue una excepción para esta firma para habilitar y, a continuación, confirme su firma Haga clic en su perfil de seguridad de vulnerabilidad (o antispyware) existente y, a continuación, en la pestaña Excepciones, busque la amenaza ID de su firma
y habilítela.

Image.png
Confirma los cambios

5. Prueba tu firma 

  • Recrea el tráfico que intentas activar con la firma
  • Marque la pestaña Monitor > Registros > amenaza para verificar la coincidencia de tráfico en la firma de amenaza personalizada.
Image.png
  • Si es necesario, ajuste su firma agregando patrones o condiciones adicionales a la firma
  • repetir
   
Nota: La firma personalizada estará habilitada de forma predeterminada en todos los perfiles de protección contra vulnerabilidades.

Para aplicar la firma personalizada a un único perfil, defina su gravedad como "informativa" y la acción predeterminada en la definición de firma como "permitir".
A continuación, cree una excepción de amenaza en el perfil de protección contra vulnerabilidades donde desea activarla, marque la casilla de verificación "habilitar" en la excepción y cambie la acción de la firma para anular la opción predeterminada "permitir".
La razón detrás de establecer la gravedad de una firma en informativa es que, de lo contrario, coincidirá con todas las reglas del perfil de vulnerabilidad, que probablemente se definan con acciones por gravedad de vulnerabilidad, y terminará anulando la acción de permiso predeterminada definida en la firma de vulnerabilidad personalizada.
Esta solución funcionará si falta la regla para vulnerabilidades de gravedad informativa en todas las reglas de protección contra vulnerabilidades o está configurada para ejecutar la acción predeterminada de la firma.

Additional Information
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CqQ1CAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language