如何创建自定义威胁签名
12728
Created On 07/08/22 18:15 PM - Last Modified 05/09/23 08:05 AM
Objective
提供有关如何创建自定义威胁签名的指导。
Environment
帕洛阿尔托 Firewall
Procedure
1.抓取你要签名的流量
- 这可以通过firewall通过一个自定义数据包捕获或第三方流量捕获/分析软件
整数上下文:用于比较小于、大于和等于的相等运算符
- 示例包括:参数长度、代码、响应和类型值
- 可以找到整数上下文和使用的完整列表这里
- 可以找到上下文限定符的完整列表这里
3. 通过自定义漏洞或反间谍软件对象创建新签名
来自firewall,转到对象选项卡 > 自定义对象 > 漏洞或反间谍软件,然后选择底部的添加firewallGUI
自定义(漏洞或反间谍软件)签名屏幕将出现在您默认位于配置选项卡上的位置。
必填字段:
- 威胁 ID
- 对于漏洞签名,输入一个数字ID在 41000 到 45000 之间。 如果firewall跑PAN-OS10.0 或更高版本,ID也可以介于 6800001 和 6900000 之间。
- 对于间谍软件签名,ID应该在 15000 到 18000 之间。 如果firewall跑PAN-OS10.0 或更高版本,ID也可以介于 6900001 和 7000000 之间。
- 名称 - 指定威胁名称。
- 严重性 - 选择威胁的严重性。
- 方向 - 客户端到服务器,服务器到客户端,两者
移动到签名选项卡,将签名选项设置为标准(除非您正在创建组合/暴力签名).通过此窗口底部的添加按钮添加签名。
这将拉出标准窗口
- 标准 - 输入名称以识别字段中的签名。
- 注释 - 输入可选描述。
- 有序条件匹配 - 如果顺序firewall尝试匹配签名定义很重要,请保持选中状态。
- 范围 - 指示此签名是适用于完整会话还是单个交易。
通过单击窗口底部的添加和条件或添加或条件来添加条件。 这将拉出一个新条件窗口:
- 如果您使用的是字符串上下文选择模式匹配,然后提供一个正则表达式模式。 或者,您还可以添加上下文限定符/值对
- 您还可以选择 Negate 以指定不触发自定义签名的条件。
- 如果您使用的是整数上下文选择等于,少于, 或者比...更棒, 然后输入所需的匹配值。
点击OK完成
4. 添加此签名的例外以启用,然后提交您的签名
单击您现有的漏洞(或反间谍软件)安全配置文件,然后在例外选项卡下,搜索您签名的威胁ID并启用它。
提交您的更改
5. 测试你的签名
- 重新创建您尝试使用签名触发的流量
- 检查“监控”选项卡 >“日志”>“威胁”以验证与自定义威胁签名匹配的流量。
- 如有必要,通过向签名添加其他模式或条件来微调您的签名
- 重复
注意:默认情况下,将在所有漏洞保护配置文件上启用自定义签名。
要将自定义签名应用于单个配置文件,请将其严重性定义为“信息”,并将签名定义中的默认操作定义为“允许”。
然后在要激活它的漏洞保护配置文件中创建一个威胁异常,在异常中标记“启用”复选框,并更改签名的操作以覆盖默认的“允许”。
将签名的严重性设置为信息性背后的基本原理是,否则它将匹配所有漏洞配置文件规则,这些规则可能由漏洞严重性的操作定义,并且最终将覆盖自定义漏洞签名中定义的默认允许操作。
如果所有漏洞保护规则中信息严重性漏洞的规则缺失,或设置为执行签名的默认操作,则此解决方案将起作用。
要将自定义签名应用于单个配置文件,请将其严重性定义为“信息”,并将签名定义中的默认操作定义为“允许”。
然后在要激活它的漏洞保护配置文件中创建一个威胁异常,在异常中标记“启用”复选框,并更改签名的操作以覆盖默认的“允许”。
将签名的严重性设置为信息性背后的基本原理是,否则它将匹配所有漏洞配置文件规则,这些规则可能由漏洞严重性的操作定义,并且最终将覆盖自定义漏洞签名中定义的默认允许操作。
如果所有漏洞保护规则中信息严重性漏洞的规则缺失,或设置为执行签名的默认操作,则此解决方案将起作用。