Comment créer une signature de menace personnalisée
Objective
Fournir des conseils sur la création de signatures de menace personnalisées.
Environment
Palo Alto (Palo Alto) Firewall
Procedure
1. Capturez le trafic pour lequel vous souhaitez créer une signature
- Cela peut être fait via firewall un logiciel de capture de paquets personnalisé ou un logiciel tiers de capture / analyseur de trafic
Contexte entier : utilisé pour les opérateurs d’égalité qui comparent moins de, supérieur et égal à
- Exemples : longueurs des paramètres, code, réponse et valeurs de type
- La liste complète des contextes entiers et de leur utilisation peut être trouvée ici
- Exemples : charges utiles, en-têtes et modèles de bannières
- Les exigences de modèle pour les signatures personnalisées peuvent être trouvées ici
- La liste complète des contextes de chaîne et de leur utilisation peut être trouvée ici
- La liste complète des qualificatifs de contexte peut être trouvée ici
3. Créez votre nouvelle signature via un objet
Vulnérabilité personnalisée ou Antispyware Dans le , accédez à l’onglet firewallObjet > Objet personnalisé > Vulnérabilité ou Antispyware, puis sélectionnez Ajouter au bas du firewall GUI
L’écran Signature personnalisée (Vulnérabilité ou AntiSpyware) apparaîtra à l’endroit où vous serez dans l’onglet Configuration par défaut.
Champs obligatoires à remplir :
- Menace ID
- Pour une signature de vulnérabilité, entrez un chiffre ID compris entre 41000 et 45000. Si le s’exécute PAN-OS 10.0 ou version ultérieure, le firewall ID peut également être compris entre 6800001 et 6900000.
- Pour une signature de logiciel espion, le ID doit être compris entre 15000 et 18000. Si le s’exécute PAN-OS 10.0 ou version ultérieure, le firewall ID peut également être compris entre 6900001 et 7000000.
- Nom : spécifiez le nom de la menace.
- Gravité - Sélectionnez la gravité de la menace.
- Direction - client à serveur, serveur à client, les deux
En passant à l’onglet Signature, laissez l’option de signature définie sur standard (sauf si vous créez une combinaison / signature par force brute).Ajoutez une signature à l’aide du bouton Ajouter en bas de cette fenêtre.
Cela affichera la fenêtre Standard
- Standard - Entrez un nom pour identifier la signature dans le champ.
- Commentaire - Entrez une description facultative.
- Correspondance de conditions ordonnées - Si l’ordre dans lequel les firewall tentatives de correspondance des définitions de signature est important, maintenez l’option sélectionnée.
- Étendue - indiquez si cette signature s’applique à une session complète ou à une transaction unique.
Ajoutez une condition en cliquant sur Ajouter et conditionner ou Ajouter ou Condition en bas de la fenêtre. Cela tirera une fenêtre Nouvelle condition :
Sélectionnez un opérateur dans le menu déroulant pour définir les conditions qui doivent être vraies pour que la signature corresponde au trafic.- Si vous utilisez un contexte de chaîne, sélectionnez Pattern Match, puis fournissez une expression régulière Pattern. Si vous le souhaitez, vous pouvez également ajouter une paire qualificateur de contexte/valeur
- Vous pouvez également sélectionner Annuler pour spécifier les conditions dans lesquelles la signature personnalisée ne se déclenche pas.
- Si vous utilisez un contexte entier, sélectionnez Égal à, Inférieur à ou Supérieur à, puis entrez la valeur de correspondance souhaitée.
Cliquez OK pour terminer
4. Ajoutez une exception pour activer cette signature, puis validez votre signature Cliquez sur votre profil de sécurité Vulnérabilité (ou Antispyware) existant, puis sous l’onglet Exceptions, recherchez la menace de votre signature
et activez-la ID .
Validez vos modifications
5. Testez votre signature
- Recréez le trafic que vous essayez de déclencher avec la signature
- Vérifiez l’onglet Surveiller > Journaux > Menace pour vérifier la correspondance du trafic sur la signature de menace personnalisée.
- Si nécessaire, affinez votre signature en ajoutant des motifs ou des conditions supplémentaires à la signature
- Répétez
Pour appliquer la signature personnalisée à un seul profil, définissez sa gravité sur « informative » et l'action par défaut dans la définition de signature sur « autoriser ».
Créez ensuite une exception de menace dans le profil de protection contre les vulnérabilités où vous souhaitez l'activer, cochez la case « activer » dans l'exception et modifiez l'action de la signature pour remplacer l'option « autoriser » par défaut.
La raison d'être de la définition de la gravité d'une signature sur informationnelle est que, sinon, elle correspondra à toutes les règles du profil de vulnérabilité, qui sont probablement définies avec des actions en fonction de la gravité de la vulnérabilité, et finira par remplacer l'action d'autorisation par défaut définie dans la signature de vulnérabilité personnalisée.
Cette solution fonctionnera si la règle relative aux vulnérabilités de gravité informationnelle dans toutes les règles de protection contre les vulnérabilités est manquante ou définie pour exécuter l'action par défaut de la signature.