So übermitteln Sie eine falsch positive Brute-Force-Signatur
2680
Created On 06/27/22 16:44 PM - Last Modified 10/22/24 09:58 AM
Objective
In diesem Artikel wird erläutert, wie Sie grundlegende Fehlerbehebungen und Untersuchungen für die ausgelöste Brute-Force-Signatur durchführen und was zu erfassen ist, wenn Sie mögliche Fehlalarme für die Brute-Force-Signaturen melden.
Environment
Alle PAN-OS Versionen
Procedure
Details zu Brute-Force-Signaturen, Auslösebedingungen und Abgleichslogik finden Sie unter folgendem Link:Brute-Force-Signatur und zugehörige Triggerbedingungen
Hinweis:
Beim Umgang mit Brute-Force-Signaturen ist es am wichtigsten, die Natur und das Konzept der
Brute-Force-Signaturen
in der PAN-OSzu verstehen. Jede Brute-Force-Signatur verfügt über eine eigene zugeordnete untergeordnete Signatur, und sie bilden logische und funktionale Paare in verwandten Brute-Force-Ereignissen.Die untergeordnete Signatur ist das Gehirn im Paar und sucht nach einer eigenen definierten Matching-Logik im Netzwerkverkehr.Die übergeordnete Brute-Force-Signatur ist nur der Zähler im Paar und sollte nur ausgelöst werden, wenn sie mit den Schwellenwerten für die eigenen konfigurierten Attribute übereinstimmt - Anzahl der Treffer der untergeordneten Signatur im definierten Zeitraum und pro Aggregationskriterium.
Zum Beispiel bilden die folgenden Signaturen ein Paar.
31914 SSH2 Login Attempt The child signature, 31914 is alert on every connection on the ssh server. 40015 SSH User Authentication Brute-force Attempt If a session has the same source and destination but triggers our child signature, 31914, 20 times in 60 seconds, we call it a brute force attack. Brute force signature's attributes are delivered with predefined default values and can be changed to reflect desired conditions in your network.
Wie untersuche ich Auslöser für eine Brute-Force-Signatur?
Um mögliche Brute-Force-Ereignisse zu untersuchen, sind in der Regel nur Bedrohungserfassungen für die zugehörigen Signaturen erforderlich und ausreichend, um die Sicherheit eines Ereignisses und die falsch positive Natur des Auslösers zu gewährleisten. Wenn relevante Bedrohungserfassungen in Ihrer Umgebung noch nicht für gewünschte Signaturen angezeigt werden, finden Sie unten Details zur Aktivierung für bestimmte Signaturen:
Wie aktiviere ich die Erfassung von Bedrohungspaketen für eine bestimmte Anti-Spyware-Signatur?
Die häufigsten Brute-Force-Auslöser, die in den Bedrohungsprotokollen zu sehen sind, lassen sich in den folgenden vier Szenarien zusammenfassen:
Szenario 1:
In den Bedrohungsprotokollen wird nur die Brute-Force-Signatur (übergeordnete Signatur) angezeigt - in den Bedrohungsprotokollen wird keine zugehörige untergeordnete Signatur angezeigt.
Maßnahmen, die für weitere Untersuchungen ergriffen werden müssen:
Finden Sie übereinstimmende Polizei- und Schwachstellenprofile für Brute-Force-/übergeordnete Signaturen (40015) und aktivieren Sie die Protokollierung und Bedrohungserfassung für die entsprechende untergeordnete Signatur (UTIDUTID31914), indem Sie eine Bedrohungsausnahme für die untergeordnete Signatur erstellen, die Aktion konfigurieren ALERT und den Paketerfassungsteil von "disable" auf "single-packet" konfigurieren.
Wie kann man das machen?
Suchen Sie in Bedrohungsprotokollen nach einer übereinstimmenden Regel, wenn eine Spalte "Regelname" in den Protokollen hinzugefügt wird, oder in einer detaillierten Protokollansicht, indem Sie auf die Lupe klicken. Von dort aus können Sie zugehörige Schwachstellenprofile finden.
Sobald dies das nächste Mal geschehen ist, wenn die Bedingungen für die untergeordnete Signatur erfüllt sind, sollten Sie die Informationen zur Protokollierung, zum Eintrag und zur Bedrohungserfassung im Bedrohungsprotokoll für die untergeordnete Signatur sehen. Wenn Sie die auslösenden Bedingungen kennen, die zum Auslösen der übergeordneten Signatur im Protokoll geführt haben, können Sie diese replizieren und die untergeordnete Signatur anzeigen. Wenn das Problem nicht pro Anforderung reproduzierbar ist, Sie weder wissen, was zum Auslöser geführt hat, noch einfach keine Kontrolle über den Client-Computer haben, müssen Sie auf das nächste Brute-Force-Ereignis warten.
Was kommt als nächstes?
Exportieren Sie die Bedrohungserfassung (grüner Pfeil) und prüfen Sie, ob die Logik mit einer untergeordneten Signatur übereinstimmt.
Wenn die Logik übereinstimmt, überprüfen Sie als nächstes, ob konfigurierte Attribute für die übergeordnete/Brute-Force-Signatur übereinstimmen.
Bedrohungserfassungen von Interesse für spätere Berichterstellungs- und Erfassungsteile, die in roten Rechtecken markiert sind.
Attributwerte werden von den Standardwerten für die übergeordnete Signatur 40015 geändert, und wir können sehen, dass sie korrekt ausgelöst wird, wie vor dem Auslösen auf der übergeordneten Signatur, wir sehen 10 Mal Trigger auf der untergeordneten Signatur UTID in 60 Sekunden.
Hinweis: Es ist möglich, eine unterschiedliche Anzahl von untergeordneten Signaturen zu sehen, bevor die übergeordnete Signatur ausgelöst wird, und dies wird im folgenden Artikel erläutert:Kriterien für die
Generierung von Bedrohungsprotokollen für übergeordnete/untergeordnete Brute-Force-Signaturen
Wie gehe ich mit Situationen um, in denen legitimer Datenverkehr korrekt auf die Brute-Force-Signatur getroffen wird?
Da im obigen Beispiel sowohl untergeordnete als auch übergeordnete Signaturen korrekt und gemäß der Konfiguration ausgelöst wurden, handelt es sich nicht um ein falsches Positiv bei Brute-Force. Firewall betrachtet nur den Netzwerkverkehr und die konfigurierten Attribute der übergeordneten Signatur. Firewall Berücksichtigt weder die Möglichkeit, noch ist es sich bewusst, dass Ihr Client, der in Bedrohungsprotokollen (Quelle IP) für Brute-Force-Signaturen zu sehen ist, möglicherweise Ihr lokaler/Remote-Scanner ist und jemand geplante Scan-Aktivitäten durchgeführt hat. Firewall berücksichtigt weder die Möglichkeit, noch ist es sich Ihrer Netzwerktopologie bewusst, und das wird für das Subnetz durchgeführt, in dem sich Ihre Netzwerkadministratoren befinden, und der NAT gesamte Datenverkehr aufgrund ihrer Vorgänge ist für eine einzige sichtbarIP, Firewall daher wären 10 verschiedene SSH Verbindungen von 10 verschiedenen Administratoren in 60 Sekunden Auslöser UTID 40015 mit geänderten Werten wie im obigen Beispiel.
Abhängig vom Kontext und abhängig von Ihren Sicherheitsanforderungen und abhängig von Ihren Wünschen gibt es verschiedene Ansätze, um mit dieser Art von legitimer und erwarteter Situation umzugehen, die in Ihrer Umgebung und Ihrem Netzwerk anwendbar sind. Sie können erwägen, Bedrohungsausnahmen in verschiedenen Formen zu erstellen, z. B. Bedrohungsausnahmen mit unterschiedlichen Aktionen, Bedrohungsausnahmen für bestimmte IP, Bedrohungsausnahmen mit oder ohne Protokollierung in den Bedrohungsprotokollen, Feinabstimmung von Schwellenwerten für die übergeordnete Signatur usw. Es gibt genügend verschiedene Konfigurationsänderungen, die Sie vornehmen können, um Ihre gewünschte und bevorzugte Anpassung für das beobachtete und untersuchte Brute-Force-Ereignis anzupassen.
Wichtiger Hinweis: Der Support kann in einer solchen Situation keine endgültige Entscheidung in Ihrem Namen treffen.
Wie melde ich echte Fehlalarme bei Brute-Force-Signaturen?
Wenn Sie keine übereinstimmende Logik für eine untergeordnete Signatur oder einen falschen Zähler für die übergeordnete Signatur sehen, können Sie den folgenden Datensatz erfassen und an uns melden.
Was soll man sammeln?
1. Sammeln Sie die Ausgabe von "Systeminformationen anzeigen" aus Ihrem CLI firewalloder kopieren Sie den Bereich "Allgemeine Informationen" aus dem Dashboard Ihrer WebGUI.
2. Sammeln Sie die ersten 3 Bedrohungserfassungen der untergeordneten Signatur, die nacheinander angezeigt werden (der Zähler der übergeordneten Signatur zählt diese als erster, zweiter und dritter Treffer) und 3 Bedrohungserfassungen, bevor die übergeordnete Signatur im zugehörigen und relevanten Untersuchungszeitraum des Brute-Force-Ereignisses ausgelöst wird. Wir benötigen nicht alle gesehenen Bedrohungserfassungen für die untergeordnete Signatur.
Zur Verdeutlichung sehen Sie sich das obige Bild an: Bedrohungserfassungen von Interesse für spätere Berichte und Sammlungsteile, die in roten Rechtecken markiert sind.
3. Bedrohungsprotokolle: Bitte exportieren Sie nur relevante Brute-Force-Bedrohungsprotokolle in dem CSV Format, indem Sie den erforderlichen Filter platzieren, um den Export einzugrenzen und in den Fall hochzuladen. Das Protokoll sollte Einträge von der ersten ausgelösten untergeordneten Signatur bis zur ausgelösten übergeordneten Signatur enthalten und den gesammelten Bedrohungserfassungen entsprechen.
Zur Verdeutlichung sind auch ausreichende Bedrohungsprotokolle im selben Bild zu sehen: Bedrohungserfassungen von Interesse für spätere Meldungen und Erfassungsteil in roten Rechtecken markiert.
Hinweis: Die Erfassung von Bedrohungen ist erforderlich und muss für jede erste Untersuchung erforderlich sein.
Platzieren Sie alle erforderlichen Daten in einer passwortgeschützten ZIP Datei, benennen Sie sie nach Ihren Wünschen und setzen Sie das Präfix vor den gewählten Namen, z. B. 20220627FP-SSH - Benutzerauthentifizierung Brute-Force-Versuch.zip, laden Sie nur ZIP die Datei hoch und geben Sie das Passwort weiter. Für den Fall, dass ein zusätzlicher Datensatz benötigt wird, hilft uns dies, die Dinge unter demselben Ticket mit unterschiedlich hochgeladenen Datensätzen übersichtlich und übersichtlich zu halten.
Szenario 2:
Die untergeordnete Signatur wird in einem Bedrohungsprotokoll mit dem Zurücksetzen von Aktionen angezeigt - beides und keine zugehörigen Bedrohungserfassungen.
Maßnahmen, die für weitere Untersuchungen ergriffen werden müssen:
Finden Sie übereinstimmende Polizei- und Schwachstellenprofile für die untergeordnete Signatur (UTID 31914) und aktivieren Sie die Protokollierung und Bedrohungserfassung für die untergeordnete Signatur, indem Sie eine Bedrohungsausnahme für die untergeordnete Signatur erstellen, die Aktion konfigurieren RESET-BOTH und den Paketerfassungsteil von "disable" auf "single-packet" konfigurieren.
Nächste Aktion?
Befolgen Sie das gleiche Verfahren, das unter Szenario 1 ausführlich erläutert wird.
Hinweis: Möglicherweise bemerken Sie dieselbe Quelle/dasselbe Ziel, dieselbe Regel und dasselbe IPübereinstimmende Profil in den Bedrohungsprotokollen für dieselben Signaturen mit unterschiedlichen Aktionen wie in Szenario 1. Wie ist das möglich? Es gibt verschiedene Situationen, die zu diesen Situationen führen können, und in der Regel spiegeln sie die Konfiguration auf der wider Firewall. Hier liegt die Hauptursache für den Unterschied für die Aktion für die untergeordnete Signatur darin, dass Konfigurationsänderungen am Profil ""TAC KB vorgenommen wurden, bevor die Datenerfassung für Szenario 2 durchgeführt wird. Die konfigurierte Aktion für alle Signaturen mit informativem Schweregrad im Profil "" wird von "Standard" auf "TAC KBReset-Both" geändert, und es gab noch keine konfigurierte Ausnahme im geänderten Profil, daher spiegelt das obige Verhalten korrekt wider, was konfiguriert wurde.
Szenario 3:
Die untergeordnete Signatur wird in einem Bedrohungsprotokoll mit Aktion ALERT und ohne zugeordnete Bedrohungserfassung angezeigt.
Für die Untersuchung zu ergreifende Maßnahmen:
Finden Sie übereinstimmende Polizei- und Schwachstellenprofile für die untergeordnete Signatur ( 31914) und aktivieren Sie die Protokollierung und Bedrohungserfassung für die untergeordnete Signatur (UTIDUTID 31914), indem Sie eine Bedrohungsausnahme für die untergeordnete Signatur erstellen, die Aktion konfigurieren ALERT und den Paketerfassungsteil von "disable" auf "single-packet" konfigurieren.
Nächste Aktion?
Befolgen Sie das gleiche Verfahren, das unter Szenario 1 ausführlich erläutert wird.
Szenario 4:
Die untergeordnete Signatur wird in einem Bedrohungsprotokoll angezeigt, und es gibt bereits eine zugehörige Bedrohungserfassung.
Nächste Aktion?
Befolgen Sie das gleiche Verfahren, das unter Szenario 1 ausführlich erläutert wird.