Comment importer ou snort suricata signature automatiquement dans Panorama par interface Web
41582
Created On 09/26/20 15:48 PM - Last Modified 03/26/21 18:39 PM
Objective
Importer automatiquement snort ou suricata IPS signature dans l’appareil PaloAlto.
Environment
PAN-OS 10,0 ou plus
Procedure
A la conversion de Snort la signature tierce (/Suricata) en signature personnalisée des réseaux PaloAlto dépend de la PAN-OS version.
Note: Pour la PAN-OS version inférieure à 10.00, vous pouvez créer un ensemble de signatures clients. Ces articles de base de connaissances expliquent en détail.
Pour PAN-OS la version 10.0 ou plus, le IPS plugin The Signature Converter pour Panorama peut convertir automatiquement les règles de Snort /Suricata en une signature de menace personnalisée palo alto networks. Une fois cette signature convertie, vous pouvez les importer dans votre groupe d’appareils. Voici le résumé des trois étapes et une description détaillée suit.
- Installez IPS le plugin Signature Converter sur Panorama .
- Téléchargez les règles de Panorama conversion et d’importation dans les groupes de votre appareil.
- Poussez les règles de vulnérabilité à Firewall l’utilisation Panorama .
- Exigences:
- Version plugin : 1.0.1 ou plus
- Minimum Panorama et Firewall version: 10.0.0
- Dernières mises à jour du contenu des applications et des menaces
- Le seul fichier texte peut être utilisé pour le téléchargement de signatures, pdf et doc ne sont pas autorisés.
- Seulement 100 signatures par fichier.
- Étapes:
- Sélectionnez Panorama-> plugins et entrez ips_signature_converter
dans la barre de recherche. - Sélectionnez la version la plus élevée, sélectionnez télécharger le plugin,et installer. S’il vous plaît sélectionner la dernière version.
- Une fois le plugin installé, vous verrez
- Sélectionnez Panorama-> plugins et entrez ips_signature_converter
Étape-2: Télécharger des règles dans le Panorama pour la conversion.
1. Vous pouvez sélectionner deux méthodes pour télécharger la snort signature, soit en utilisant l’interface Web ou CLI .
2. Sur l’interface Web -> Panorama sélectionnez tab-> IPS sélectionnez Convertisseur signature
sur volet gauche -> Gérer 3. fenêtre A apparaîtra comme indiqué dans la capture d’écran suivante.
2. Sur l’interface Web -> Panorama sélectionnez tab-> IPS sélectionnez Convertisseur signature
sur volet gauche -> Gérer 3. fenêtre A apparaîtra comme indiqué dans la capture d’écran suivante.
4. Vous pouvez sélectionner un fichier ou copier/coller la signature. Rappelez-vous la restriction, (a) seul le fichier texte peut être utilisé et b) seulement 100 signatures par fichier.
5. Cliquez sur convertir,il faudra quelques minutes et la signature sera convertie avec un message d’état.
7. Le message d’état d’importation de signature peut être aussi suivant.
| Succès | Converti avec succès |
| Succès avec avertissements | Converti avec succès avec des avertissements |
| Échoué | Problème de syntaxe ou d’autres problèmes, pas de conversion |
| Double | Pas de conversion |
| Couverture existante | Converti avec succès avec une signature qui existe déjà |
6. Maintenant sélectionnez la règle, cliquezsur la signature d’importation,et cliquez sur l’importation de la signature.
8. Vous pouvez voir ces règles importées dans les vulnérabilités personnalisées ou les logiciels espions en fonction de la signature.
10. L’exportation de ces signatures tierce est purement basée sur les IP adresses statiques, IP la plage, le domaine ou URL dans un fichier basé sur le texte; ce fichier basé sur le texte peut être ajouté à une liste dynamique externe ( EDL ). Ce type de signature ne contient pas de mots clés tels que « contenu » ouPCRE«».
11. Le nom d’une telle règle contient le mot «IOC ..»
12 ans. Vous devez convertir ces règles aussi.
Étape 3: Poussez les objets de vulnérabilité dans le groupe de votre appareil et poussez-les vers le Firewall .