如何通过 snort Panorama Web 界面自动导入或附加签名
41507
Created On 09/26/20 15:48 PM - Last Modified 03/26/21 18:39 PM
Objective
自动将 snort 苏里卡塔 IPS 签名导入帕洛亚尔托设备。
Environment
PAN-OS 10.0或更高
Procedure
A 第三方 Snort (/苏里卡塔)签名转换为帕洛阿托网络的自定义签名取决于 PAN-OS 版本。
注意: 对于 PAN-OS 低于 10.00 的版本,您可以创建一组客户签名。 本 知识库文章详细解释。
对于 PAN-OS 版本 10.0 或更高版本,签名 IPS 转换器插件 Panorama 可以自动将 Snort /Suricata 的规则转换为自定义帕洛阿尔托网络威胁签名。 转换此签名后,您可以将它们导入您的设备组。 以下是三个步骤的摘要,详细描述如下。
- 安装 IPS 签名转换器插件 Panorama 。
- 将 Panorama 转换和导入规则中的规则上传到您的设备组。
- 将漏洞规则推至 Firewall 使用 Panorama 中。
- 要求:
- 插件版本: 1.0.1 或更高
- 最低 Panorama 和 Firewall 版本: 10.0.0
- 最新应用和威胁内容更新
- 唯一的文本文件可用于签名上传,pdf和文档是不允许的。
- 每个文件只有 100 个签名。
- 步骤:
- 选择Panorama->插件并在搜索栏中输入ips_signature_converter。
- 选择最高版本,选择下载插件并安装。 请选择最新版本。
- 安装插件后,您将看到
- 选择Panorama->插件并在搜索栏中输入ips_signature_converter。
步骤2: 在转换中上传规则 Panorama 。
1. 您可以选择两种方法来上传 snort 签名,或者使用 Web 界面或 CLI 。
2. 在Web界面上-> 选择 Panorama 选项卡>选择 IPS 左窗格上的签名转换器->管理
3. A 窗口将弹出如下屏幕捕获中显示。
2. 在Web界面上-> 选择 Panorama 选项卡>选择 IPS 左窗格上的签名转换器->管理
3. A 窗口将弹出如下屏幕捕获中显示。
4. 您可以选择文件或复制/粘贴签名。 请记住限制,(a) 只能使用文本文件,(b) 每个文件只能使用 100 个签名。
5. 单击 转换,将需要几分钟,签名将转换为状态消息。
7. 签名导入状态消息可以如下。
| 成功 | 成功转换 |
| 警告成功 | 成功转换与警告 |
| 失败 | 语法问题或其他问题,无转换 |
| 重复 | 无转换 |
| 现有覆盖范围 | 已存在的签名成功转换 |
6. 现在选择 规则,点击 导入签名,然后点击 导入签名。
8. 您可以根据签名在自定义漏洞或间谍软件中看到这些导入的规则。
10. 输出这些第三方签名纯粹基于静态 IP 地址、 IP 范围、域或 URL 基于文本的文件:该基于文本的文件可以添加到外部动态列表中 EDL ( )。 这种签名不包含关键字,如 "内容" 或PCRE""。
11. 这种规则的名称包含IOC "。"
12. 您也需要转换此类规则。
第 3 步:将漏洞对象推入您的设备组,并将它们推至 Firewall 。