如何提交暴力签名误报
2676
Created On 06/27/22 16:44 PM - Last Modified 10/22/24 09:58 AM
Objective
本文将解释如何对触发的暴力签名进行基本的故障排除和调查,以及在报告对暴力签名的可能误报时收集的内容。
Environment
全部PAN-OS版本
Procedure
有关暴力签名、触发条件和匹配逻辑的详细信息,请参见以下链接:
暴力签名及相关触发条件
笔记:
在处理暴力签名时,最重要的是理解自然和暴力签名的概念。PAN-OS . 每个暴力签名都有自己的关联子签名,并且它们在相关的暴力事件中形成逻辑和功能对。子签名是配对中的大脑,在网络流量中寻找自己定义的匹配逻辑。父暴力签名只是配对中的计数器,只有当它与自己配置的属性阈值匹配时才应该触发——子签名在定义的时间范围内和每个聚合标准的命中次数。
例如下面的签名形成一对。
31914 SSH2 Login Attempt The child signature, 31914 is alert on every connection on the ssh server. 40015 SSH User Authentication Brute-force Attempt If a session has the same source and destination but triggers our child signature, 31914, 20 times in 60 seconds, we call it a brute force attack. Brute force signature's attributes are delivered with predefined default values and can be changed to reflect desired conditions in your network.
如何调查暴力签名的触发器?
为了调查可能的暴力事件,通常只需要对相关签名进行威胁捕获,并且就事件的确定性和触发器的误报性质而言就足够了。 如果在您的环境中尚未看到所需签名的相关威胁捕获,您可以在下面详细了解如何为特定签名启用它:
如何为特定的反间谍软件签名启用威胁数据包捕获?
威胁日志中最常见的暴力破解触发器可以总结为以下四种情况:
场景 1:
在威胁日志中只能看到暴力签名(父签名)——在威胁日志中看不到相关的子签名。
需要采取的进一步调查行动:
为暴力/父签名找到匹配的警察和漏洞配置文件(UTID 40015) 并为相应的子签名启用日志记录和威胁捕获 (UTID 31914) 通过为子签名配置操作创建威胁例外ALERT并将数据包捕获部分从“禁用”配置为“单个数据包”。
这个怎么做?
如果在日志中添加了“规则名称”列,或者从详细的日志视图中单击放大镜,则可以从威胁日志中找到匹配的规则。 从那里您可以找到相关的漏洞配置文件。
下次完成此操作后,当子签名的条件匹配时,您应该会在子签名的威胁日志中看到日志记录条目和威胁捕获信息。 如果您知道导致日志中父签名触发的触发条件,您可以复制它并查看子签名。 如果问题无法根据要求重现,您不知道是什么导致了触发,或者您只是没有控制客户端机器,您将不得不等待下一个暴力事件。
接下来是什么?
导出威胁捕获(绿色箭头)并查看逻辑是否与子签名匹配。
如果逻辑匹配,则下一步检查配置的属性是否与父/暴力签名匹配。
对以后报告和收集感兴趣的威胁捕获部分用红色矩形标记。
属性值从父签名的默认值更改UTID40015,我们可以看到它像以前一样在父签名上正确触发,我们确实看到在 60 秒内在子签名上触发了 10 次。
注意:在触发父签名之前可能会看到不同数量的子签名,这在以下文章中有解释:
暴力父/子签名的威胁日志生成标准
合法流量被正确命中暴力签名怎么处理?
在上面的示例中,由于子签名和父签名均已正确触发,并且根据配置,这不是暴力误报的情况。 Firewall 仅查看网络流量和父签名配置属性。 Firewall 不考虑可能性,也不知道您的客户端在威胁日志中看到(来源IP) 对于暴力签名,可能是您的本地/远程扫描仪和执行计划扫描活动的人。 Firewall 不考虑可能性,它也不知道您的网络拓扑,并且NAT是针对您的网络管理员所在的子网执行的,并且所有流量由于其操作的性质而可见Firewall作为一个IP因此有 10 个不同的SSH60 秒内来自 10 个不同管理员的连接将被触发UTID40015,修改后的值如上例所示。
根据上下文和您的安全要求以及您的意愿,有不同的方法来处理这种可能适用于您的环境和网络的合法和预期情况。 您可以考虑以不同的形式创建威胁异常,例如具有不同操作的威胁异常,特定的威胁异常IP,有或没有登录威胁日志的威胁异常,微调父签名的阈值等。 您可以进行足够多的不同配置更改,以适应您对观察到的和调查的暴力事件的期望和首选调整。
重要提示:在这种情况下,支持不能代表您做出最终决定。
如何报告蛮力签名的真正误报?
如果您没有看到儿童签名的匹配逻辑,或者您看到父母签名的错误计数器,您可以收集以下数据集并向我们报告。
收集什么?
1. 从中收集“显示系统信息”的输出CLI你的firewall,或从 WebGUI 的仪表板复制“一般信息”窗格。
2. 收集按顺序看到的子签名的前 3 次威胁捕获(父签名的计数器将它们计为第一次、第二次和第三次命中)和在暴力事件的相关和相关调查时间范围内触发父签名之前的 3 次威胁捕获。 我们不需要所有可见的威胁捕获来获取子签名。
为了清楚起见,请看上面的图片对以后报告和收集感兴趣的威胁捕获部分用红色矩形标记。
3. 威胁日志:请仅导出相关的暴力威胁日志CSV通过放置所需的过滤器来缩小导出范围并将其上传到案例。 日志应包含从第一次触发的子签名到触发的父签名的条目,并且它们应与收集的威胁捕获相对应。
为了澄清,在同一张图片中也看到了足够的威胁日志对以后报告和收集感兴趣的威胁捕获部分用红色矩形标记。
注意:威胁捕获是必需的,并且必须用于任何初始调查。
将所有必需的数据放在一个受密码保护的ZIP文件,根据您的喜好命名并在所选名称的前面放置前缀,例如 20220627-FP-SSH User Authentication Brute-force Attempt.zip,仅上传ZIP文件并共享密码。 如果需要额外的数据集,这将有助于我们在具有不同上传数据集的同一票证下保持清晰的方式和清晰的顺序。
场景 2:
在威胁日志中可以看到儿童签名,其中包含操作重置 - 两者都没有关联的威胁捕获。
需要采取的进一步调查行动:
为儿童签名找到匹配的警察和漏洞配置文件(UTID 31914) 并通过为子签名配置操作创建威胁异常来为子签名启用日志记录和威胁捕获RESET-BOTH并将数据包捕获部分从“禁用”配置为“单个数据包”。
下一步行动?
按照场景 1 中详细说明的相同过程进行操作。
注意:您可能会注意到相同的来源/目的地IP,威胁日志下的相同规则和相同匹配的配置文件,用于具有不同操作的相同签名,如场景 1 中所见。 这怎么可能? 有不同的情况会导致这些情况,通常它们反映了配置Firewall. 在这里,对子签名的操作差异的根本原因是对配置文件进行的配置更改“TAC KB " 在场景 2 的数据收集完成之前。 对所有具有信息严重性的签名的配置操作“TAC KB “配置文件从“默认”更改为“重置-两者”,并且修改后的配置文件中没有配置异常,但上述行为正确反映了已配置的内容。
场景 3:
在带有操作的威胁日志中看到儿童签名ALERT并且没有相关的威胁捕获。
采取调查行动:
为儿童签名找到匹配的警察和漏洞配置文件(UTID 31914) 并为儿童签名启用日志记录和威胁捕获 (UTID 31914) 通过为子签名配置操作创建威胁例外ALERT并将数据包捕获部分从“禁用”配置为“单个数据包”。
下一步行动?
按照场景 1 中详细说明的相同过程进行操作。
场景 4:
在威胁日志中可以看到子签名,并且已经存在关联的威胁捕获。
下一步行动?
按照场景 1 中详细说明的相同过程进行操作。