Impossible de localiser la menace ID 8723 pour une exception de protection contre les vulnérabilités.
5030
Created On 07/06/22 01:52 AM - Last Modified 05/09/23 08:04 AM
Symptom
- Le Threat Vault (https://threatvault.paloaltonetworks.com/) classe la signature comme « Signatures de protection contre les vulnérabilités ».
- Impossible de localiser les ID de menace répertoriés ci-dessous pour créer une exception dans le profil de protection contre les vulnérabilités.
Menace-ID 8721 Cet événement détecte que l’adresse source ou de destination du paquet réseau est définie comme une adresse non spécifiée ou une adresse réservée à une définition et une utilisation ultérieures, comme spécifié dans RFC 3513 pour IPv6.
Menace-ID 8722 Cet événement détecte la TCP négociation fractionnée, où un client et un serveur d’une TCP connexion s’envoient un SYN paquet simultanément.
Menace-ID 8723 Cet événement détecte un paquet avec charge TCP SYN utile et aucune TCP option d’ouverture rapide n’est présente.
Menace-ID 8724 Cet événement détecte un paquet avec une TCP SYN-ACK charge utile et aucune TCP option d’ouverture rapide n’est présente.
Menace-ID 8725 Cet événement détecte et supprime le TCP Option d’ouverture rapide (et charge utile de données, le cas échéant) à partir du paquet ou SYN-ACK lors d’une TCP SYN TCP négociation à trois voies.
Menace-ID 8726 Cet événement détecte la présence de paquets fragmentés IP .
Menace-ID 8727 Cet événement détecte les tentatives d’usurpation d’adresse IP .
Menace-ID 8728 Cet événement détecte les tentatives de lancement d’une attaque DoS ping de la mort.
Menace-ID 8729 Cet événement détecte la présence de ICMP Paquets supérieurs à 1024 octets.
Menace-ID 8730 Cet événement détecte la présence de ICMP fragments.
Menace-ID 8731 Cet événement détecte la présence d’un message d’erreur incorporé dans ICMP les paquets.
Menace-ID 8732 Cet événement est déclenché lorsque vous rencontrez un TCP paquet qui n’appartient pas à une session existante. Toute nouvelle session devrait commencer par un SYN paquet et être abandonnée si ce n’est pas le cas.
Menace-ID 8723 Cet événement détecte un paquet avec charge TCP SYN utile et aucune TCP option d’ouverture rapide n’est présente.
Menace-ID 8724 Cet événement détecte un paquet avec une TCP SYN-ACK charge utile et aucune TCP option d’ouverture rapide n’est présente.
Menace-ID 8725 Cet événement détecte et supprime le TCP Option d’ouverture rapide (et charge utile de données, le cas échéant) à partir du paquet ou SYN-ACK lors d’une TCP SYN TCP négociation à trois voies.
Menace-ID 8726 Cet événement détecte la présence de paquets fragmentés IP .
Menace-ID 8727 Cet événement détecte les tentatives d’usurpation d’adresse IP .
Menace-ID 8728 Cet événement détecte les tentatives de lancement d’une attaque DoS ping de la mort.
Menace-ID 8729 Cet événement détecte la présence de ICMP Paquets supérieurs à 1024 octets.
Menace-ID 8730 Cet événement détecte la présence de ICMP fragments.
Menace-ID 8731 Cet événement détecte la présence d’un message d’erreur incorporé dans ICMP les paquets.
Menace-ID 8732 Cet événement est déclenché lorsque vous rencontrez un TCP paquet qui n’appartient pas à une session existante. Toute nouvelle session devrait commencer par un SYN paquet et être abandonnée si ce n’est pas le cas.
Environment
- Pare-feu Palo Alto Networks.
- PAN-OS 8.1.0 et versions ultérieures.
- PAN-OS 9.1.0 et versions ultérieures.
- PAN-OS 10.0.0 et versions ultérieures.
- PAN-OS 10.1.0 et versions ultérieures.
- PAN-OS 10.2.0 et versions ultérieures.
Cause
- Bien que ces ID de menace soient identifiés comme « Signatures de protection contre les vulnérabilités », toutes les signatures ID comprises entre 8700 et 8799 sont associées aux protections contre les attaques basées sur les paquets disponibles dans les profils « Protection de zone ».
Resolution
- C’est le comportement attendu. Les exceptions pour ces signatures ne se trouvent pas dans le « Profil de protection contre les vulnérabilités ».
- Il n’existe aucune exception de menace pour les signatures liées aux protections basées sur les paquets. Seule l’option « Exclusion de l’adresse source » est facultative pour la « Protection de reconnaissance ».
Additional Information
- Quels sont les ID de menace pour les attaques par paquets associées à Zone Protection ?
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wkqxCAA