Comment soumettre une signature par force brute faux positif
2682
Created On 06/27/22 16:44 PM - Last Modified 10/22/24 09:58 AM
Objective
Cet article explique comment effectuer un dépannage et une enquête de base sur la signature de force brute déclenchée et ce qu’il faut collecter lors du signalement d’éventuels faux positifs sur les signatures de force brute.
Environment
Toutes les PAN-OS versions
Procedure
Des détails sur les signatures par force brute, les conditions de déclenchement et la logique de correspondance peuvent être trouvés dans le lien ci-dessous:Signature par force brute et
conditions de déclenchement associées
Remarque:
Lorsqu’il s’agit de signatures par force brute, le plus important est de comprendre la nature et le concept des signatures de force brute dans le PAN-OS. Chaque signature de force brute a sa propre signature enfant associée et ils forment des paires logiques et fonctionnelles dans des événements de force brute connexes.La signature enfant est le cerveau de la paire et recherche sa propre logique de correspondance définie dans le trafic réseau.La signature par force brute parente n’est que le compteur de la paire et ne doit se déclencher que si elle correspond à des seuils d’attributs configurés propres - nombre d’accès de la signature enfant dans une plage de temps définie et par critère d’agrégation.
Par exemple, les signatures ci-dessous forment une paire.
31914 SSH2 Login Attempt The child signature, 31914 is alert on every connection on the ssh server. 40015 SSH User Authentication Brute-force Attempt If a session has the same source and destination but triggers our child signature, 31914, 20 times in 60 seconds, we call it a brute force attack. Brute force signature's attributes are delivered with predefined default values and can be changed to reflect desired conditions in your network.
Comment enquêter sur les déclencheurs sur une signature par force brute ?
Afin d’enquêter sur d’éventuels événements de force brute, seules les captures de menace sur les signatures associées sont généralement requises et suffisantes en ce qui concerne la certitude autour d’un événement et la nature faussement positive du déclencheur. Si les captures de menaces pertinentes ne sont pas déjà visibles dans votre environnement pour les signatures souhaitées, vous avez des détails sur la façon de l’activer pour une signature spécifique
ci-dessous: Comment activer la capture de paquets de menace pour une signature anti-spyware spécifique?
Les déclencheurs de force brute les plus courants observés dans les journaux des menaces peuvent être résumés dans les quatre scénarios ci-dessous :
Scénario 1 : seule
la signature par force brute (signature parente) est visible dans les journaux des menaces - aucune signature enfant associée n’apparaît dans les journaux des menaces.
Mesures à prendre pour une enquête plus approfondie :
Trouvez le profil de police et de vulnérabilité correspondant pour la force brute/signature parent ( 40015) et activez la journalisation et la capture des menaces pour la signature enfant correspondante (UTIDUTID 31914) en créant une exception de menace pour la signature enfant Configuration de l’action et ALERT configuration de la partie capture de paquets de « Désactiver » à « Paquet unique ».
Comment faire ?
Dans les journaux des menaces, recherchez une règle correspondante si une colonne « Nom de la règle » est ajoutée dans les journaux ou à partir d’une vue de journal détaillée en cliquant sur la loupe. De là, vous pouvez trouver les profils de vulnérabilité associés.
Une fois que cela est fait la prochaine fois que les conditions sont mises en correspondance pour la signature enfant, vous devriez voir les informations d’entrée de journalisation et de capture des menaces dans le journal des menaces pour la signature enfant. Si vous connaissez les conditions de déclenchement qui ont conduit au déclenchement de la signature parente dans le journal, vous pouvez la répliquer et voir la signature enfant. Si le problème n’est pas reproductible par exigence, si vous ne savez pas ce qui a conduit au déclencheur ou si vous ne contrôlez pas la machine cliente, vous devrez attendre le prochain événement de force brute.
Et ensuite ?
Exportez la capture des menaces (flèche verte) et vérifiez si la logique est comparée à une signature enfant.
Si la logique correspond ensuite, vérifiez si les attributs configurés correspondent à la signature parente/force brute.
Captures de menaces d’intérêt pour les rapports ultérieurs et la partie de collecte marquée par des rectangles rouges.
Les valeurs d’attribut sont modifiées par rapport aux valeurs par défaut pour la signature parent 40015 et nous pouvons le voir déclenché correctement comme avant le déclenchement sur la signature parente, nous voyons 10 fois le déclencheur sur la signature UTID enfant en 60 secondes.
Remarque: Il est possible de voir un nombre différent de signatures enfants avant que le parent ne soit déclenché et cela est expliqué dans l’article suivant:
Critères de génération du journal des menaces pour les signatures parent/enfant
par force brute Comment faire face à une situation où le trafic légitime est correctement touché par la signature par force brute?
Dans l’exemple ci-dessus, étant donné que les signatures enfant et parent se déclenchent correctement et selon la configuration, il ne s’agit pas d’un cas de faux positif sur la force brute. Firewall examine uniquement le trafic réseau et les attributs configurés pour la signature parente. Firewall ne prend pas en considération la possibilité non plus il est conscient que votre client vu dans les journaux de menaces (source IP) pour les signatures par force brute est peut-être votre scanner local / distant et quelqu’un a effectué une activité d’analyse planifiée. Firewall ne prend pas en considération la possibilité ni il est conscient de la topologie de votre réseau et qui NAT est effectué pour le sous-réseau où se trouvent vos administrateurs réseau et tout le trafic dû à la nature de leurs opérations est visible comme Firewall un seul IP donc 10 connexion différente SSH de 10 administrateurs différents en 60 secondes serait déclencheur UTID 40015 avec des valeurs modifiées comme dans l’exemple ci-dessus.
Selon le contexte et en fonction de vos exigences de sécurité et en fonction de vos souhaits, il existe différentes approches pour faire face à ce type de situation légitime et attendue applicable dans votre environnement et votre réseau. Vous pouvez envisager de créer des exceptions de menace sous différentes formes, telles que des exceptions de menace avec une action différente, une exception de menace pour une exception spécifique IP, une exception de menace avec ou sans connexion dans les journaux des menaces, des valeurs de seuil de réglage fin pour la signature parente, etc. Il y a suffisamment de changements de configuration différents que vous pouvez faire afin de s’adapter à votre ajustement souhaité et préféré pour l’événement de force brute observé et étudié.
Note importante: Le support ne peut pas prendre de décision finale en votre nom dans ce genre de situation.
Comment signaler de vrais faux positifs sur les signatures par force brute?
Si vous ne voyez pas de logique de correspondance pour une signature enfant ou si vous voyez un compteur incorrect pour la signature parente, vous pouvez collecter l’ensemble de données suivant et nous en faire rapport.
Que collecter?
1. Collectez la sortie de « show system info » à partir de votre , ou copiez le volet « Informations générales » à partir CLI du tableau de bord de votre firewallWebGUI.
2. Collectez les 3 premières captures de menace de la signature enfant vues en séquence (le compteur de signature parent les compte comme premier, deuxième et troisième succès) et 3 captures de menace avant la signature parent déclenchée dans le cadre d’enquête connexe et pertinent de l’événement de force brute. Nous n’avons pas besoin de toutes les captures de menaces vues pour la signature de l’enfant.
Pour plus de clarté, regardez l’image ci-dessus Captures de menace d’intérêt pour les rapports ultérieurs et la partie de collecte marquée dans des rectangles rouges.
3. Journaux des menaces : veuillez exporter uniquement les journaux de menaces de force brute pertinents dans le format en plaçant le filtre requis pour affiner l’exportation et le télécharger dans le CSV cas. Le journal doit contenir les entrées de la première signature enfant déclenchée jusqu’à la signature parente déclenchée et elles doivent correspondre aux captures de menaces collectées.
Pour plus de clarté, des journaux de menaces suffisants sont également visibles dans la même image Captures de menaces d’intérêt pour les rapports ultérieurs et la partie de collecte marquée par des rectangles rouges.
Remarque : Les captures de menaces sont requises et doivent l’avoir pour toute enquête initiale.
Placez toutes les données requises dans un fichier protégé par ZIP mot de passe, nommez-le selon vos préférences et placez le préfixe devant le nom choisi comme 20220627- User Authentication Brute-forceFP-SSH Attempt.zip, téléchargez uniquement ZIP le fichier et partagez le mot de passe. Dans le cas où un ensemble de données supplémentaire est nécessaire, cela nous aidera à garder les choses de manière claire et dans un ordre clair sous le même ticket avec différents ensembles de données téléchargés.
Scénario 2 :
La signature enfant est visible dans un journal des menaces avec la réinitialisation des actions et aucune capture de menace associée.
Mesures à prendre pour une enquête plus approfondie :
Trouvez le profil de police et de vulnérabilité correspondant pour la signature enfant (UTID 31914) et activez la journalisation et la capture des menaces pour la signature enfant en créant une exception de menace pour la signature enfant Configuration de l’action et RESET-BOTH configuration de la partie capture de paquets de « Désactiver » à « Paquet unique ».
Prochaine action?
Suivez la même procédure détaillée que celle décrite dans le scénario 1.
Remarque : Vous remarquerez peut-être la même source/destination IP, la même règle et le même profil correspondant sous les journaux des menaces pour les mêmes signatures avec une action différente comme pour le scénario 1. Comment est-ce possible ? Il existe différentes situations qui peuvent conduire à ces situations et elles reflètent généralement la configuration sur le Firewall. Ici, la cause première de la différence pour l’action sur la signature enfant est due aux modifications de configuration effectuées sur le profil « TAC KB » avant que la collecte de données ne soit effectuée pour le scénario 2. L’action configurée sur toutes les signatures avec une gravité informationnelle dans le profil « » est passée de « default » à « TAC KBreset-both » et il n’y avait pas d’exception configurée dans le profil modifié, mais donc le comportement ci-dessus reflète correctement ce qui a été configuré.
Scénario 3 :
la signature enfant est visible dans un journal des menaces avec action ALERT et aucune capture de menace associée.
Action à entreprendre pour l’enquête :
Trouvez le profil de police et de vulnérabilité correspondant pour la signature enfant ( 31914) et activez la journalisation et la capture des menaces pour la signature enfant (UTIDUTID 31914) en créant une exception de menace pour la signature enfant Configuration de l’action et ALERT configuration de la partie capture de paquets de « Désactiver » à « Paquet unique ».
Prochaine action?
Suivez la même procédure détaillée que celle décrite dans le scénario 1.
Scénario 4 :
La signature enfant est visible dans un journal des menaces et il existe déjà une capture de menace associée.
Prochaine action?
Suivez la même procédure détaillée que celle décrite dans le scénario 1.