Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Comment créer une signature de menace personnalisée - Knowledge Base - Palo Alto Networks

Comment créer une signature de menace personnalisée

21147
Created On 07/08/22 18:15 PM - Last Modified 05/09/23 08:04 AM


Objective


Fournir des conseils sur la création de signatures de menace personnalisées.

Environment


Palo Alto (Palo Alto) Firewall

Procedure


1. Capturez le trafic pour lequel vous souhaitez créer une signature2. Identifiez le type de contexte que vous utiliserez pour la signature : Entier ou chaîne
Contexte entier : utilisé pour les opérateurs d’égalité qui comparent moins de, supérieur et égal à
  • Exemples : longueurs des paramètres, code, réponse et valeurs de type
  • La liste complète des contextes entiers et de leur utilisation peut être trouvée ici
Contexte de chaîne : utilisé pour la comparaison de modèles
  • Exemples : charges utiles, en-têtes et modèles de bannières
  • Les exigences de modèle pour les signatures personnalisées peuvent être trouvées ici
  • La liste complète des contextes de chaîne et de leur utilisation peut être trouvée ici
(Facultatif) Vous pouvez également souhaiter incorporer des qualificatifs contextuels. Les qualificateurs réduisent le risque de faux positifs en autorisant un déclenchement de siganture uniquement lorsque le détecte le modèle ou la valeur à l’intérieur d’un firewall qualificateur spécifique, ce qui correspond à un contexte spécifique (tel que HTTP GET versus POST ou FTP MODE, LIST, TEST)
  • La liste complète des qualificatifs de contexte peut être trouvée ici

3. Créez votre nouvelle signature via un objet
Vulnérabilité personnalisée ou Antispyware Dans le , accédez à l’onglet firewallObjet > Objet personnalisé > Vulnérabilité ou Antispyware, puis sélectionnez Ajouter au bas du firewall GUI 

image.png
L’écran Signature personnalisée (Vulnérabilité ou AntiSpyware) apparaîtra à l’endroit où vous serez dans l’onglet Configuration par défaut.

image.png

Champs obligatoires à remplir :

  • Menace ID
    • Pour une signature de vulnérabilité, entrez un chiffre ID compris entre 41000 et 45000. Si le s’exécute PAN-OS 10.0 ou version ultérieure, le firewall ID peut également être compris entre 6800001 et 6900000.
    • Pour une signature de logiciel espion, le ID doit être compris entre 15000 et 18000. Si le s’exécute PAN-OS 10.0 ou version ultérieure, le firewall ID peut également être compris entre 6900001 et 7000000.
  • Nom : spécifiez le nom de la menace.
  • Gravité - Sélectionnez la gravité de la menace.
  • Direction - client à serveur, serveur à client, les deux

En passant à l’onglet Signature, laissez l’option de signature définie sur standard (sauf si vous créez une combinaison / signature par force brute).Ajoutez une signature à l’aide du bouton Ajouter en bas de cette fenêtre.
image.png
Cela affichera la fenêtre Standard

image.png

Champs à remplir dans cette fenêtre :
  • Standard - Entrez un nom pour identifier la signature dans le champ.
  • Commentaire - Entrez une description facultative.
  • Correspondance de conditions ordonnées - Si l’ordre dans lequel les firewall tentatives de correspondance des définitions de signature est important, maintenez l’option sélectionnée.
  • Étendue - indiquez si cette signature s’applique à une session complète ou à une transaction unique.

Ajoutez une condition en cliquant sur Ajouter et conditionner ou Ajouter ou Condition en bas de la fenêtre. Cela tirera une fenêtre Nouvelle condition :

image.png

Sélectionnez un opérateur dans le menu déroulant pour définir les conditions qui doivent être vraies pour que la signature corresponde au trafic.
  • Si vous utilisez un contexte de chaîne, sélectionnez Pattern Match, puis fournissez une expression régulière Pattern. Si vous le souhaitez, vous pouvez également ajouter une paire qualificateur de contexte/valeur
    • Vous pouvez également sélectionner Annuler pour spécifier les conditions dans lesquelles la signature personnalisée ne se déclenche pas.
  • Si vous utilisez un contexte entier, sélectionnez Égal à, Inférieur à ou Supérieur à, puis entrez la valeur de correspondance souhaitée.

Cliquez OK pour terminer

4. Ajoutez une exception pour activer cette signature, puis validez votre signature Cliquez sur votre profil de sécurité Vulnérabilité (ou Antispyware) existant, puis sous l’onglet Exceptions, recherchez la menace de votre signature
et activez-la ID .

image.png
Validez vos modifications

5. Testez votre signature 

  • Recréez le trafic que vous essayez de déclencher avec la signature
  • Vérifiez l’onglet Surveiller > Journaux > Menace pour vérifier la correspondance du trafic sur la signature de menace personnalisée.
image.png
  • Si nécessaire, affinez votre signature en ajoutant des motifs ou des conditions supplémentaires à la signature
  • Répétez
   
Remarque : La signature personnalisée sera activée par défaut sur tous les profils de protection contre les vulnérabilités.

Pour appliquer la signature personnalisée à un seul profil, définissez sa gravité sur « informative » et l'action par défaut dans la définition de signature sur « autoriser ».
Créez ensuite une exception de menace dans le profil de protection contre les vulnérabilités où vous souhaitez l'activer, cochez la case « activer » dans l'exception et modifiez l'action de la signature pour remplacer l'option « autoriser » par défaut.
La raison d'être de la définition de la gravité d'une signature sur informationnelle est que, sinon, elle correspondra à toutes les règles du profil de vulnérabilité, qui sont probablement définies avec des actions en fonction de la gravité de la vulnérabilité, et finira par remplacer l'action d'autorisation par défaut définie dans la signature de vulnérabilité personnalisée.
Cette solution fonctionnera si la règle relative aux vulnérabilités de gravité informationnelle dans toutes les règles de protection contre les vulnérabilités est manquante ou définie pour exécuter l'action par défaut de la signature.


Additional Information




Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CqQ1CAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language