カスタム脅威シグネチャを作成する方法

• これは、firewallを介してカスタム パケット キャプチャまたはサードパーティのトラフィック キャプチャ/アナライザ ソフトウェア

• 例: パラメーターの長さ、コード、応答、および型の値
• 整数コンテキストと使用法の完全なリストを見つけることができますここ

• 例: ペイロード、ヘッダー、およびバナー パターン
• カスタム署名のパターン要件を見つけることができますここ
• 文字列のコンテキストと使用の完全なリストを見つけることができますここ

• コンテキスト修飾子の完全なリストを見つけることができますここ

3. カスタム脆弱性またはアンチスパイウェア オブジェクトを介して新しい署名を作成します。
からfirewallで、[オブジェクト] タブ > [カスタム オブジェクト] > [脆弱性またはスパイウェア対策] に移動し、画面の下部にある [追加] を選択します。firewallGUI

[カスタム (脆弱性またはアンチスパイウェア) 署名] 画面が、既定で [構成] タブに表示される場所に表示されます。

入力が必要なフィールド:

• 脅威 ID
  • 脆弱性シグネチャの場合は、数値を入力してくださいID41000 から 45000 の間。 もしfirewall走るPAN-OS10.0 以降、ID 6800001 から 6900000 の間でもかまいません。
  • スパイウェア署名の場合、ID 15000 から 18000 の間である必要があります。 もしfirewall走るPAN-OS10.0 以降、ID 6900001 から 7000000 の間でもかまいません。
• 名前 - 脅威名を指定します。
• 重大度 - 脅威の重大度を選択します。
• 方向 - クライアントからサーバー、サーバーからクライアント、両方

[署名] タブに移動し、署名オプションを標準に設定したままにします (署名を作成する場合を除く)。コンビネーション/ブルート フォース シグネチャ）。このウィンドウの下部にある [追加] ボタンで署名を追加します。

これにより、標準ウィンドウが表示されます

• 標準 - フィールドに署名を識別する名前を入力します。
• コメント - オプションの説明を入力します。
• Ordered Condition Match - 条件一致の順序がfirewallシグニチャ定義との一致を試みることが重要です。選択したままにしてください。
• スコープ - この署名が完全なセッションに適用されるか、単一のトランザクションに適用されるかを示します。

ウィンドウの下部にある [条件を追加] または [条件を追加] をクリックして、条件を追加します。 これにより、新しい条件ウィンドウがプルプルされます。

• 文字列コンテキストを使用している場合は、選択しますパターンマッチ、次に正規表現パターンを提供します。 オプションで、コンテキスト修飾子/値のペアを追加することもできます
  • [否定] を選択して、カスタム シグニチャがトリガーされない条件を指定することもできます。
• 整数コンテキストを使用している場合は、選択しますに等しい、未満、 またより大きいをクリックし、目的の一致値を入力します。

クリックOK終わる

4. この署名の例外を追加して有効にし、署名をコミットします
既存の脆弱性 (またはアンチスパイウェア) セキュリティ プロファイルをクリックし、[例外] タブでシグネチャの脅威を検索します。ID有効にします。

変更をコミットします

5. 署名をテストする

• シグニチャでトリガーしようとしているトラフィックを再作成します
• [監視] タブ > [ログ] > [脅威] を確認して、トラフィックがカスタム脅威シグネチャと一致することを確認します。

• 必要に応じて、署名にパターンや条件を追加して、署名を微調整します。
• 繰り返す