Cómo importar snort o suricata firma automáticamente en Panorama por interfaz Web
41673
Created On 09/26/20 15:48 PM - Last Modified 03/26/21 18:39 PM
Objective
Importar snort automáticamente o firmar Suricata IPS en el dispositivo PaloAlto.
Environment
PAN-OS 10.0 o superior
Procedure
A la conversión de firmas de terceros Snort (/Suricata) en la firma personalizada de PaloAlto Networks depende de la PAN-OS versión.
Nota: Para la PAN-OS versión inferior a 10.00, puede crear un conjunto de firmas de cliente. Estos artículos de la base de conocimiento explican en detalle.
Para PAN-OS la versión 10.0 o superior, el IPS plugin Signature Converter puede convertir automáticamente las reglas de Panorama Snort /Suricata en una firma de amenazas de Palo Alto Networks personalizada. Una vez convertida esta firma, puede importarlas al grupo de dispositivos. Aquí está el resumen de los tres pasos y una descripción detallada sigue.
- Instale el IPS plugin Signature Converter en Panorama .
- Cargue reglas en las Panorama reglas para la conversión e importación a los grupos de dispositivos.
- Inserte las reglas de vulnerabilidad en el Firewall uso Panorama .
- Requisitos:
- Versión del plugin: 1.0.1 o superior
- Mínimo Panorama y Firewall versión: 10.0.0
- Últimas actualizaciones de contenido de aplicaciones y amenazas
- El único archivo de texto se puede utilizar para la carga de firmas, pdf y doc no están permitidos.
- Solo 100 firmas por archivo.
- Pasos:
- Seleccione Panorama-> Plugins e introduzca ips_signature_converter
en la barra de búsqueda. - Seleccione la versión más alta, seleccione descargar el plugine instalar. Seleccione la versión más reciente.
- Una vez instalado el plugin verás
- Seleccione Panorama-> Plugins e introduzca ips_signature_converter
Paso 2: Cargue reglas en la Panorama conversión for.
1. Puede seleccionar dos métodos para cargar la snort firma, ya sea utilizando la interfaz Web o CLI .
2. En la interfaz Web -> seleccione Panorama tab-> seleccione IPS Signature Converter en el panel izquierdo -> la
ventana Administrar 3. aparecerá como se muestra en la siguiente captura de A pantalla.
2. En la interfaz Web -> seleccione Panorama tab-> seleccione IPS Signature Converter en el panel izquierdo -> la
ventana Administrar 3. aparecerá como se muestra en la siguiente captura de A pantalla.
4. Puede seleccionar un archivo o copiar/pegar la firma. Recuerde la restricción, (a) solo se puede utilizar un archivo de texto y (b) solo 100 firmas por archivo.
5. Haga clic en convertir,tomará unos minutos y la firma se convertirá con un mensaje de estado.
7. El mensaje de estado de importación de firma puede ser el siguiente.
| Éxito | Convertido con éxito |
| Éxito con advertencias | Convertido con éxito con advertencias |
| Fallado | Problema de sintaxis u otros problemas, sin conversión |
| Duplicado | Sin conversión |
| Cobertura existente | Convertido correctamente con una firma que ya existe |
6. Ahora seleccione la regla,haga clic en importar firma,y haga clic en importar la firma.
8. Puede ver estas reglas importadas en las vulnerabilidades personalizadas o spyware dependiendo de la firma.
10. La exportación de esas firmas de terceros se basa exclusivamente en las direcciones estáticas, el rango, el IP dominio o en un archivo basado en IP URL texto; ese archivo basado en texto se puede agregar a una lista dinámica externa ( EDL ). Este tipo de firma no contiene palabras clave como "content" o "PCRE".
11. El nombre de dicha regla contiene la palabra "IOC .."
12. Usted necesita convertir tales reglas también.
Paso 3: Inserte los objetos de vulnerabilidad en el grupo de dispositivos y empújenlos al Firewall archivo .