snortWeb インターフェイスによって自動的に署名をインポートまたはスリカタ Panorama のシグネチャをインポートする方法

snortWeb インターフェイスによって自動的に署名をインポートまたはスリカタ Panorama のシグネチャをインポートする方法

41580
Created On 09/26/20 15:48 PM - Last Modified 03/26/21 18:39 PM


Objective


自動的に snort IPS パロアルトデバイスにスリカタ署名をインポートします。

Environment


PAN-OS 10.0 以上
 

Procedure


A SnortPaloAltoネットワークスのカスタム署名へのサードパーティ(/Suricata)署名変換は、バージョンによって異なります PAN-OS 。 
注:PAN-OS10.00 より低いバージョンの場合、顧客署名のセットを作成できます。 この サポート情報記事では、詳細について説明します。 

PAN-OSバージョン 10.0 以上の場合、 IPS 署名コンバータープラグインは Panorama 自動的に Snort /Suricata のルールをカスタムパロアルトネットワークス脅威シグネチャに変換できます。 この署名が変換されると、デバイス グループにインポートできます。 3 つの手順の概要と、以下の詳細な説明を次に示します。
  1. IPSに署名コンバーター プラグインをインストール Panorama します。
  2. Panorama変換ルールとインポートルールのルールをデバイスグループにアップロードします。
  3. 脆弱性ルールを使用にプッシュ Firewall Panorama します。
ステップ1:IPSに署名コンバーター プラグインをインストール Panorama します。
  1. 要件:
    1. プラグインバージョン: 1.0.1以上
    2. 最小 Panorama および Firewall バージョン: 10.0.0
    3. 最新のアプリケーションおよび脅威コンテンツの更新
    4. 署名のアップロードに使用できるテキストファイルのみで、pdf および doc は使用できません。
    5. ファイルあたり 100 署名のみ。
  2. 手順:
    1. >Panoramaプラグインを 選択し、検索バーにips_signature_converter
      を入力します。
    2. 最上位バージョンを選択し、プラグインをダウンロードしてインストールを選択します。 最新バージョンを選択してください。
    3. プラグインがインストールされると、表示されます
Panorama プラグインがインストール済み

ステップ 2:   Panorama 変換用にルールをアップロードします。
1. 署名をアップロードする方法は snort 、Web インターフェイスまたは を使用して選択できます CLI 。
2. Web インターフェイスで -> タブ Panorama を選択> IPS 左ペインで署名コンバーターを選択 - >管理
3. A ウィンドウがポップアップ表示されます次の画面キャプチャに示すように.
ユーザー追加イメージ
 
4. ファイルを選択するか、署名をコピー/貼り付けることができます。 (a) テキスト ファイルのみを使用でき、(b) ファイルごとに 100 署名のみという制限を覚えておいてください。
ユーザー追加イメージ
 
5. 変換をクリックすると数分かかりますし、署名はステータスメッセージと共に変換されます。
ユーザー追加イメージ
 
7. 署名インポートステータスメッセージは次のようにすることができます。
成功正常に変換されました
警告を伴う成功警告を使用して正常に変換されました
失敗 しました構文の問題またはその他の問題、変換なし
重複変換なし
既存のカバレッジ既に存在する署名で正常に変換されました
6. 次に ルールを選択し、[ 署名のインポート] をクリックして [署名をインポート]をクリックします。
ユーザー追加イメージ
ユーザー追加イメージ
8. 署名に応じて、カスタム脆弱性やスパイウェアにこれらのインポートされたルールを見ることができます。
ユーザー追加イメージ

10. これらのサードパーティ署名のエクスポートは、純粋に静的 IP アドレス、 IP 範囲、ドメイン、または URL テキストベースのファイルに基づいており、テキストベースのファイルを外部動的リスト ( ) に追加できます EDL 。 この種のシグネチャには 、"content" や "PCRE"などのキーワードは含まれません。
11. このようなルールの名前には、 "IOC . 
12. あなたも、このようなルールを変換する必要があります。
 
  ステップ3:脆弱性オブジェクトをデバイスグループにプッシュし、それらを Firewall .

Additional Information
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HAu0CAG&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language