So importieren snort oder suricata-Signatur automatisch über Panorama web interface
41566
Created On 09/26/20 15:48 PM - Last Modified 03/26/21 18:39 PM
Objective
Automatisch importieren snort oder Suricata-Signatur IPS in PaloAlto-Gerät.
Environment
PAN-OS 10,0 oder höher
Procedure
A Die Konvertierung der Signatur von Drittanbietern ( Snort /Suricata in die benutzerdefinierte Signatur von PaloAlto Networks hängt von der PAN-OS Version ab.
Hinweis: Für die PAN-OS Version unter 10.00 können Sie eine Reihe von Kundensignaturen erstellen. In diesen Wissensdatenbankartikeln wird ausführlich erläutert.
Für PAN-OS Version 10.0 oder höher kann das IPS Signature Converter Plugin für die Regeln von Panorama Snort /Suricata automatisch in eine benutzerdefinierte Palo Alto Networks Bedrohungssignatur konvertieren. Sobald diese Signatur konvertiert wurde, können Sie sie in Ihre Gerätegruppe importieren. Hier ist die Zusammenfassung der drei Schritte und eine detaillierte Beschreibung folgt.
- Installieren Sie das IPS Signature Converter Plugin auf Panorama .
- Laden Sie Regeln in der Panorama für Konvertierungs- und Importregeln in Ihre Gerätegruppen hoch.
- Schieben Sie die Sicherheitsanfälligkeitsregeln an die Firewall Verwendung Panorama .
- Anforderungen:
- Plugin-Version: 1.0.1 oder höher
- Minimum Panorama und Firewall Version: 10.0.0
- Neueste Aktualisierungen von Anwendungs- und Bedrohungsinhalten
- Die einzige Textdatei kann für den Signatur-Upload verwendet werden, pdf und Doc sind nicht zulässig.
- Nur 100 Signaturen pro Datei.
- Schritte:
- Wählen Sie Panorama-> Plugins und geben Sie ips_signature_converter
in die Suchleiste ein. - Wählen Sie die höchste Version, wählen Sie das Pluginherunterladen , und installieren. Bitte wählen Sie die neueste Version aus.
- Sobald das Plugin installiert ist, werden Sie sehen,
- Wählen Sie Panorama-> Plugins und geben Sie ips_signature_converter
Schritt-2: Laden Sie Regeln in der Panorama für die Konvertierung hoch.
1. Sie können zwei Methoden zum Hochladen der snort Signatur auswählen, entweder über die Weboberfläche oder CLI .
2. Auf Web-Schnittstelle -> Panorama wählen Sie tab-> wählen IPS Sie Signaturkonverter auf der linken Seite Bereich -> Verwalten
3. Fenster wird A angezeigt, wie in der folgenden Bildschirmaufnahme gezeigt.
2. Auf Web-Schnittstelle -> Panorama wählen Sie tab-> wählen IPS Sie Signaturkonverter auf der linken Seite Bereich -> Verwalten
3. Fenster wird A angezeigt, wie in der folgenden Bildschirmaufnahme gezeigt.
4. Sie können entweder eine Datei auswählen oder die Signatur kopieren/einfügen. Denken Sie an die Einschränkung, (a) nur Textdatei verwendet werden kann und (b) nur 100 Signaturen pro Datei.
5. Klicken Sie auf konvertieren, es dauert ein paar Minuten und die Signatur wird mit einer Statusmeldung konvertiert.
7. Die Statusmeldung zum Signaturimport kann wie folgt sein.
| Erfolg | Erfolgreich konvertiert |
| Erfolg mit Warnungen | Erfolgreich mit Warnungen konvertiert |
| Fehlgeschlagen | Syntaxproblem oder andere Probleme, keine Konvertierung |
| Doppelte | Keine Konvertierung |
| Vorhandene Abdeckung | Erfolgreich konvertiert mit einer Signatur, die bereits vorhanden ist |
6. Wählen Sie nun die Regelaus , klicken Sie auf Signatur importieren, und klicken Sie auf Die Signatur importieren.
8. Sie können diese importierten Regeln in den benutzerdefinierten Sicherheitslücken oder Spyware je nach Signatur sehen.
10. Das Exportieren dieser Signaturen von Drittanbietern basiert ausschließlich auf den statischen Adressen, dem IP IP Bereich, der Domäne oder URL in einer textbasierten Datei; diese textbasierte Datei kann einer externen dynamischen Liste hinzugefügt werden ( EDL ). Diese Art der Signatur enthält keine Schlüsselwörter wie "content" oder "PCRE.
11. Der Name einer solchen Regel enthält das Wort "IOC .."
12. Sie müssen auch solche Regeln konvertieren.
Schritt-3: Schieben Sie die Schwachstellenobjekte in Ihre Gerätegruppe, und drücken Sie sie an die Firewall .