カスタム脅威シグネチャを作成する方法
21147
Created On 07/08/22 18:15 PM - Last Modified 05/09/23 08:04 AM
Objective
カスタムの脅威シグネチャを作成する方法に関するガイダンスを提供します。
Environment
パロアルト Firewall
Procedure
1.署名を作成するトラフィックをキャプチャします
- これは、firewallを介してカスタム パケット キャプチャまたはサードパーティのトラフィック キャプチャ/アナライザ ソフトウェア
整数コンテキスト: より小さい、より大きい、および等しいと比較する等値演算子に使用されます。
- 例: パラメーターの長さ、コード、応答、および型の値
- 整数コンテキストと使用法の完全なリストを見つけることができますここ
- コンテキスト修飾子の完全なリストを見つけることができますここ
3. カスタム脆弱性またはアンチスパイウェア オブジェクトを介して新しい署名を作成します。
からfirewallで、[オブジェクト] タブ > [カスタム オブジェクト] > [脆弱性またはスパイウェア対策] に移動し、画面の下部にある [追加] を選択します。firewallGUI
[カスタム (脆弱性またはアンチスパイウェア) 署名] 画面が、既定で [構成] タブに表示される場所に表示されます。
入力が必要なフィールド:
- 脅威 ID
- 脆弱性シグネチャの場合は、数値を入力してくださいID41000 から 45000 の間。 もしfirewall走るPAN-OS10.0 以降、ID 6800001 から 6900000 の間でもかまいません。
- スパイウェア署名の場合、ID 15000 から 18000 の間である必要があります。 もしfirewall走るPAN-OS10.0 以降、ID 6900001 から 7000000 の間でもかまいません。
- 名前 - 脅威名を指定します。
- 重大度 - 脅威の重大度を選択します。
- 方向 - クライアントからサーバー、サーバーからクライアント、両方
[署名] タブに移動し、署名オプションを標準に設定したままにします (署名を作成する場合を除く)。コンビネーション/ブルート フォース シグネチャ)。このウィンドウの下部にある [追加] ボタンで署名を追加します。
これにより、標準ウィンドウが表示されます
- 標準 - フィールドに署名を識別する名前を入力します。
- コメント - オプションの説明を入力します。
- Ordered Condition Match - 条件一致の順序がfirewallシグニチャ定義との一致を試みることが重要です。選択したままにしてください。
- スコープ - この署名が完全なセッションに適用されるか、単一のトランザクションに適用されるかを示します。
ウィンドウの下部にある [条件を追加] または [条件を追加] をクリックして、条件を追加します。 これにより、新しい条件ウィンドウがプルプルされます。
ドロップダウン メニューからオペレータを選択して、署名がトラフィックと一致するために真でなければならない条件を定義します。- 文字列コンテキストを使用している場合は、選択しますパターンマッチ、次に正規表現パターンを提供します。 オプションで、コンテキスト修飾子/値のペアを追加することもできます
- [否定] を選択して、カスタム シグニチャがトリガーされない条件を指定することもできます。
- 整数コンテキストを使用している場合は、選択しますに等しい、未満、 またより大きいをクリックし、目的の一致値を入力します。
クリックOK終わる
4. この署名の例外を追加して有効にし、署名をコミットします
既存の脆弱性 (またはアンチスパイウェア) セキュリティ プロファイルをクリックし、[例外] タブでシグネチャの脅威を検索します。ID有効にします。
変更をコミットします
5. 署名をテストする
- シグニチャでトリガーしようとしているトラフィックを再作成します
- [監視] タブ > [ログ] > [脅威] を確認して、トラフィックがカスタム脅威シグネチャと一致することを確認します。
- 必要に応じて、署名にパターンや条件を追加して、署名を微調整します。
- 繰り返す
注: カスタム署名は、すべての脆弱性保護プロファイルでデフォルトで有効になります。
カスタム シグニチャを 1 つのプロファイルに適用するには、その重大度を「情報」として定義し、シグニチャ定義のデフォルト アクションを「許可」として定義します。
次に、アクティブ化する脆弱性保護プロファイルで脅威の例外を作成し、例外で「有効にする」チェックボックスをマークし、署名のアクションを変更してデフォルトの「許可」を上書きします。
シグネチャの重大度を情報に設定する理由は、それ以外の場合、すべての脆弱性プロファイル ルールに一致し、脆弱性の重大度によるアクションで定義されている可能性が高く、カスタム脆弱性シグネチャで定義されているデフォルトの許可アクションを上書きすることになるためです。
このソリューションは、すべての脆弱性保護ルールで情報重大度の脆弱性のルールが欠落しているか、シグネチャのデフォルト アクションを実行するように設定されている場合に機能します。
カスタム シグニチャを 1 つのプロファイルに適用するには、その重大度を「情報」として定義し、シグニチャ定義のデフォルト アクションを「許可」として定義します。
次に、アクティブ化する脆弱性保護プロファイルで脅威の例外を作成し、例外で「有効にする」チェックボックスをマークし、署名のアクションを変更してデフォルトの「許可」を上書きします。
シグネチャの重大度を情報に設定する理由は、それ以外の場合、すべての脆弱性プロファイル ルールに一致し、脆弱性の重大度によるアクションで定義されている可能性が高く、カスタム脆弱性シグネチャで定義されているデフォルトの許可アクションを上書きすることになるためです。
このソリューションは、すべての脆弱性保護ルールで情報重大度の脆弱性のルールが欠落しているか、シグネチャのデフォルト アクションを実行するように設定されている場合に機能します。