article 如何使用反间谍软件、漏洞和防病毒的例外设置来阻止或允许威胁 in 配置和实施

如何使用反间谍软件、漏洞和防病毒的例外设置来阻止或允许威胁

xzuo — Wed, 18 Jan 2023 08:44:12 GMT

现象

本文档介绍如何使用反间谍软件、漏洞保护和防病毒的例外设置来更改针对Palo Alto Network防火墙上特定威胁的操作。

环境

Palo Alto Network 防火墙
PAN OS 8.1 及更高版本。
反间谍软件、漏洞或防病毒的例外设置

解决方法

反间谍软件或漏洞保护的例外设置

例如：将威胁 ID #30003 的反间谍软件例外添加到名为“Threat_exception_test_profile”的现有配置文件

转到对象 > 安全配置文件 >“反间谍软件”或“漏洞保护”
选择现有配置文件
单击“例外”选项卡。
首先，选中配置文件窗口左下方的“显示所有签名”的选框。
在搜索栏中，输入字符串“( 例如 'microsoft' )”或直接输入威胁 ID 号本身（例如 30003）。按回车键或单击绿色箭头开始搜索。
注意：如果正在搜索的签名是在最新的动态更新操作中应用并且没有在搜索结果中出现，请退出 Web UI 然后重新登录以清除 GUI 缓存。
结果将显示“ Microsoft Windows DCOM RPC Interface Buffer Overrun Vulnerability”（就是威胁 ID #30003）。
注意：威胁 ID 可以从威胁日志中确定。
要启用此例外设置，请选中“启用”选框。
更改默认的“动作”值以处理未排除的流量。要允许流量，请选择Allow（允许），或要丢弃流量，请选择Drop（丢弃）。

威胁操作详细信息 - 更改默认操作。

使用 IP 地址例外项目栏将 IP 地址过滤器添加到威胁的例外中。如果将 IP 地址添加到威胁例外，只有当触发签名是由源 IP 或目标 IP 与例外列表中的 IP 匹配的会话时，该签名的威胁例外操作才会接管规则的操作。每个签名最多可以添加 100 个 IP 地址。使用此选项，无需创建新的策略规则和新的漏洞配置文件来为特定 IP 地址创建例外。为了排除某些 IP 地址，而不是所有流量，请单击“ IP Address Exemptions（IP 地址豁免）”下的空白处，然后单击底部的添加按钮。最多可以向列表中添加 100 个 IP 地址。

IP 地址豁免详细信息。

确保将反间谍软件和/或漏洞保护配置文件应用于适当的安全策略。
点击提交更改以启用例外设置。

防病毒例外设置

例如，要将威胁 ID #253879 的防病毒的例外添加到名为“AV_exception_test_profile”的现有配置文件：（注意：请注意，如果您将一个病毒排除在检查范围之外，就只能是是全部或没有，您不能只将一个IP排除在这种保护之外，这将是该规则/防病毒策略所允许的所有内容）。

转到 GUI：对象 > 安全配置文件 > 防病毒。
在现有配置文件中，单击“病毒例外”选项卡。
在页面底部的 Threat Id（威胁号）字段中输入威胁ID（在此示例中为253879 ），然后单击添加和确认。
注意：威胁 ID 可以从威胁日志中确定。
在此示例中，创建了“ Win32/Virus.Generic.koszy ”的例外设置

防病毒 - 病毒异常窗口详细信息。

确保将防病毒配置文件应用于适当的安全策略。
没有选项可以将某些 IP 地址排除在防病毒的例外设置中。
提交更改。