Die Bedrohung ID 8723 konnte für eine Ausnahme für den Schutz vor Sicherheitsanfälligkeiten nicht gefunden werden.

5024

Created On 07/06/22 01:52 AM - Last Modified 05/09/23 08:04 AM

Symptom

Die Threat Vault(https://threatvault.paloaltonetworks.com/) klassifiziert die Signatur als "Vulnerability Protection Signatures".
Die unten aufgeführten Bedrohungs-IDs konnten nicht gefunden werden, um eine Ausnahme im Schwachstellenschutzprofil zu erstellen.

Bedrohung:ID 8721 Dieses Ereignis erkennt, dass die Quell- oder Zieladresse des Netzwerkpakets als nicht spezifizierte Adresse oder als Adresse definiert ist, die für die zukünftige Definition und Verwendung reserviert ist, wie in RFC 3513 für IPv6 angegeben.

Bedrohung -ID 8722 Dieses Ereignis erkennt einen TCP geteilten Handshake, bei dem sowohl ein Client als auch ein Server einer TCP Verbindung gleichzeitig ein SYN Paket aneinander senden.
Bedrohung:ID 8723 Dieses Ereignis erkennt ein TCP SYN Paket mit Nutzlast, und eine TCP Schnellöffnungsoption ist nicht vorhanden.
Bedrohung:ID 8724 Dieses Ereignis erkennt ein TCP SYN-ACK Paket mit Nutzlast, und eine TCP Schnellöffnungsoption ist nicht vorhanden.
Bedrohung-ID 8725 Dieses Ereignis erkennt und entfernt die TCP Schnellöffnungsoption (und Datennutzlast, falls vorhanden) aus dem TCP SYN SYN-ACK oder-Paket während eines TCP Drei-Wege-Handshakes.
Bedrohung:ID 8726 Dieses Ereignis erkennt das Vorhandensein fragmentierter IP Pakete.
Bedrohung:ID 8727 Dieses Ereignis erkennt Versuche zum Spoofing von IP Adressen.
Bedrohung:ID 8728 Dieses Ereignis erkennt Versuche, einen Ping-of-Death-DoS-Angriff zu starten.
Bedrohung-ID 8729 Dieses Ereignis erkennt das Vorhandensein von ICMP Pakete, die größer als 1024 Byte sind.
Bedrohung-ID 8730 Dieses Ereignis erkennt das Vorhandensein von ICMP Fragmenten.
Bedrohung:ID 8731 Dieses Ereignis erkennt das Vorhandensein einer Fehlermeldung, die in ICMP Pakete eingebettet ist.
Bedrohung -ID 8732 Dieses Ereignis wird ausgelöst, wenn ein TCP Paket gefunden wird, das nicht zu einer vorhandenen Sitzung gehört. Es wird erwartet, dass jede neue Sitzung mit einem SYN Paket beginnt und verworfen wird, wenn dies nicht der Fall ist.

Environment

Palo Alto Networks Firewalls.
PAN-OS 8.1.0 und neuere Versionen.
PAN-OS 9.1.0 und neuere Versionen.
PAN-OS 10.0.0 und neuere Versionen.
PAN-OS 10.1.0 und neuere Versionen.
PAN-OS 10.2.0 und neuere Versionen.

Cause

Obwohl diese Bedrohungs-IDs als "Vulnerability Protection Signatures" identifiziert werden, sind alle Signaturen ID in den Bereichen zwischen 8700 und 8799 mit paketbasierten Angriffsschutzmaßnahmen verknüpft, die in den Profilen "Zone Protection" verfügbar sind.

Resolution

Das ist das erwartete Verhalten. Ausnahmen für diese Signaturen sind unter dem "Vulnerability Protection Profile" nicht zu finden.
Es gibt keine Bedrohungsausnahmen für Signaturen im Zusammenhang mit paketbasierten Schutzmaßnahmen. Nur "Source Address Exclusion" ist für "Reconnaissance Protection" optional.

Netzwerk -->Zonenschutz --> Zonenschutzprofil -->Paketbasierter Angriffsschutz.

Additional Information

Was sind die Bedrohungs-IDs für paketbasierte Angriffe, die mit dem Zonenschutz verbunden sind?