Cómo enviar un falso positivo de firma de fuerza bruta
2686
Created On 06/27/22 16:44 PM - Last Modified 10/22/24 09:58 AM
Objective
Este artículo explicará cómo solucionar problemas básicos e investigar la firma de fuerza bruta activada y qué recopilar al informar de posibles falsos positivos en las firmas de fuerza bruta.
Environment
Todas las PAN-OS versiones
Procedure
Los detalles sobre las firmas de fuerza bruta, las condiciones de activación y la lógica de coincidencia se pueden encontrar en el siguiente enlace:Firma de fuerza bruta y condiciones de activación relacionadas
Nota:
Cuando se trata de firmas de fuerza bruta, lo más importante es comprender la naturaleza y el concepto de las firmas
de fuerza bruta
en el PAN-OS. Cada firma de fuerza bruta tiene su propia firma secundaria asociada y están formando pares lógicos y funcionales en eventos de fuerza bruta relacionados.La firma secundaria es el cerebro en el par y está buscando su propia lógica de coincidencia definida en el tráfico de red.La firma de fuerza bruta principal es solo el contador del par y debe activarse solo si coincide con los umbrales de atributos configurados propios: número de aciertos de la firma secundaria en un rango de tiempo definido y por criterios de agregación.
Por ejemplo, debajo de las firmas están formando un par.
31914 SSH2 Login Attempt The child signature, 31914 is alert on every connection on the ssh server. 40015 SSH User Authentication Brute-force Attempt If a session has the same source and destination but triggers our child signature, 31914, 20 times in 60 seconds, we call it a brute force attack. Brute force signature's attributes are delivered with predefined default values and can be changed to reflect desired conditions in your network.
¿Cómo investigar los disparadores en una firma de fuerza bruta?
Para investigar posibles eventos de fuerza bruta, generalmente solo se requieren capturas de amenazas en las firmas relacionadas y suficientes con respecto a la certeza en torno a un evento y la naturaleza de los falsos positivos del desencadenante. Si las capturas de amenazas relevantes aún no se ven en su entorno para las firmas deseadas, tiene detalles sobre cómo habilitarlas para firmas específicas a continuación:
¿Cómo habilitar la captura de paquetes de amenazas para una firma antispyware específica?
Los desencadenantes de fuerza bruta más comunes que se ven en los registros de amenazas se pueden resumir en los siguientes cuatro escenarios:
Escenario 1:
solo se ve la firma de fuerza bruta (firma principal) en los registros de amenazas; no se ve ninguna firma secundaria relacionada en los registros de amenazas.
Acción a tomar para una investigación adicional:
Encuentre el perfil policial y de vulnerabilidad coincidente para la fuerza bruta/firma principal ( 40015) y habilite el registro y la captura de amenazas para la firma secundaria correspondiente (UTIDUTID 31914) creando una excepción de amenaza para la firma secundaria configurando la acción y ALERT configurando la parte de captura de paquetes de "deshabilitar" a "paquete único".
¿Cómo hacerlo?
Desde los registros de amenazas, encuentre una regla coincidente si se agrega una columna "Nombre de la regla" en los registros o desde una vista de registro detallada haciendo clic en la lupa. Desde allí puede encontrar perfiles de vulnerabilidad asociados.
Una vez hecho esto, la próxima vez que coincidan las condiciones para la firma secundaria, debería ver la entrada de registro y la información de captura de amenazas en el registro de amenazas para la firma secundaria. Si conoce las condiciones de activación que condujeron a la activación de la firma principal en el registro, puede replicarla y ver la firma secundaria. Si el problema no es reproducible por requisito, ni sabe qué llevó al disparador o simplemente no está controlando la máquina cliente, tendrá que esperar el próximo evento de fuerza bruta.
¿Y ahora qué?
Exporte la captura de amenazas (flecha verde) y vea si la lógica coincide con una firma secundaria.
Si la lógica coincide, compruebe si los atributos configurados coinciden con la firma de fuerza bruta / padre.
Capturas de amenazas de interés para informes posteriores y parte de recopilación marcada en rectángulos rojos.
Los valores de atributo se cambian de los valores predeterminados para la firma principal 40015 y podemos verlo activado correctamente, ya que antes del disparador en la firma principal vemos 10 veces activado en la firma UTID secundaria en 60 segundos.
Nota: Es posible ver un número diferente de firmas secundarias antes de que se active el padre y se explica en el siguiente artículo:
Criterios de generación de registros de amenazas para firmas padre/hijo
de fuerza bruta ¿Cómo lidiar con la situación en la que el tráfico legítimo se ve afectado correctamente a la firma de fuerza bruta?
En el ejemplo anterior, dado que tanto las firmas secundarias como las principales se activaron correctamente y según la configuración, este no es un caso de falso positivo en fuerza bruta. Firewall solo está mirando el tráfico de red y los atributos configurados de la firma principal. Firewall No tiene en cuenta la posibilidad ni es consciente de que su cliente visto en los registros de amenazas (fuente IP) para firmas de fuerza bruta es tal vez su escáner local / remoto y alguien realizó una actividad de escaneo planificada. Firewall no tiene en cuenta la posibilidad ni es consciente de su topología de red y que se realiza para la subred donde se encuentran sus administradores de red y todo el tráfico debido a la naturaleza de sus operaciones es visible como una sola IP conexión por lo tanto NAT 10 diferentes de 10 administradores diferentes en 60 SSH segundos se activaría UTID 40015 con valores modificados como en el ejemplo anterior.
Firewall Dependiendo del contexto y dependiendo de sus requisitos de seguridad y dependiendo de sus deseos, existen diferentes enfoques para hacer frente a este tipo de situación legítima y esperada posible aplicable en su entorno y red. Puede considerar crear excepciones de amenaza en diferentes formas, como excepción de amenaza con acción diferente, excepción de amenaza para específicos IP, excepción de amenaza con o sin inicio de sesión en los registros de amenazas, valores de umbral de ajuste fino para la firma principal, etc. Hay suficientes cambios de configuración diferentes que puede hacer para adaptarse a su ajuste deseado y preferido para el evento de fuerza bruta observado e investigado.
Nota importante: El soporte no puede tomar una decisión final en su nombre en este tipo de situación.
¿Cómo reportar falsos positivos verdaderos en firmas de fuerza bruta?
Si no ve una lógica coincidente para una firma secundaria o ve un contador incorrecto para la firma principal, puede recopilar el siguiente conjunto de datos e informarnos.
¿Qué recopilar?
1. Recopile la salida de "mostrar información del sistema" de su CLI firewall, o copie el panel "Información general" del panel de control de su WebGUI.
2. Recopile las primeras 3 capturas de amenazas de la firma secundaria vista en secuencia (el contador de la firma principal las cuenta como primer, segundo y tercer golpe) y 3 capturas de amenazas antes de que la firma principal se active en el marco de tiempo de investigación relacionado y relevante del evento de fuerza bruta. No necesitamos todas las capturas de amenazas vistas para la firma del niño.
Para aclarar, consulte la imagen anterior Capturas de amenazas de interés para informes posteriores y parte de recopilación marcada en rectángulos rojos.
3. Registros de amenazas: exporte solo los registros de amenazas de fuerza bruta relevantes en el formato colocando el filtro requerido para reducir la exportación y cargarla en el CSV caso. El registro debe contener entradas desde la primera firma secundaria activada hasta la firma principal activada y deben corresponder a las capturas de amenazas recopiladas.
Para mayor claridad, también se ven suficientes registros de amenazas en la misma imagen Capturas de amenazas de interés para informes posteriores y parte de recopilación marcada en rectángulos rojos.
Nota: Las capturas de amenazas son necesarias y deben tenerlas para cualquier investigación inicial.
Coloque todos los datos requeridos en un archivo protegido con ZIP contraseña, asígnele el nombre según sus preferencias y coloque el prefijo en el frente del nombre elegido como 20220627-FP-SSH Intento de fuerza bruta de autenticación de usuario.zip, cargue solo ZIP el archivo y comparta la contraseña. En caso de que se requiera un conjunto de datos adicional, esto nos ayudará a mantener las cosas de manera clara y ordenada bajo el mismo ticket con diferentes conjuntos de datos cargados.
Escenario 2:
La firma secundaria se ve en un registro de amenazas con restablecimiento de acción, ambos y sin capturas de amenazas asociadas.
Acción a tomar para una investigación adicional:
Encuentre el perfil policial y de vulnerabilidad coincidente para la firma secundaria (UTID 31914) y habilite el registro y la captura de amenazas para la firma secundaria creando una excepción de amenaza para la firma secundaria configurando la acción y RESET-BOTH configurando la parte de captura de paquetes de "deshabilitar" a "paquete único".
¿Próxima acción?
Siga el mismo procedimiento detallado explicado en el escenario 1.
Nota: Es posible que observe el mismo origen/destino IP, la misma regla y el mismo perfil coincidente en los registros de amenazas para las mismas firmas con una acción diferente a la vista en el escenario 1. ¿Cómo es posible? Hay diferentes situaciones que pueden conducir a estas situaciones y por lo general están reflejando la configuración en el Firewall. Aquí, la causa raíz de la diferencia para la acción en la firma secundaria es debido a los cambios de configuración realizados en el perfil ""TAC KB antes de que se realice la recopilación de datos para el escenario 2. La acción configurada en todas las firmas con gravedad informativa en el perfil "" se cambia de "predeterminado" a "restablecer ambos"TAC KB y no había ninguna excepción configurada en el perfil modificado, por lo tanto, el comportamiento anterior refleja correctamente lo que se ha configurado.
Escenario 3:
La firma secundaria se ve en un registro de amenazas con acción ALERT y sin capturas de amenazas asociadas.
Acción a tomar para la investigación:
Encuentre el perfil policial y de vulnerabilidad coincidente para la firma secundaria ( 31914) y habilite el registro y la captura de amenazas para la firma secundaria (UTIDUTID 31914) creando una excepción de amenaza para la firma secundaria configurando la acción y ALERT configurando la parte de captura de paquetes de "deshabilitar" a "paquete único".
¿Próxima acción?
Siga el mismo procedimiento detallado explicado en el escenario 1.
Escenario 4:
La firma secundaria se ve en un registro de amenazas y ya hay una captura de amenazas asociada.
¿Próxima acción?
Siga el mismo procedimiento detallado explicado en el escenario 1.