如何提交漏洞签名的假阳性

yyu — Wed, 11 Jan 2023 02:48:40 GMT

症状
漏洞假阳性，即良性网络流量被识别为漏洞并触发漏洞签名。

环境问题
所有PAN-OS版本。

原因
流量可能被误认为是漏洞之一。

解决方法
漏洞签名是以网络流量为基础的，因此，重点在于签名启动时在网络上看到的数据，并怀疑它是一个假阳性。提供以下内容是最重要的:

1.一个完整的解密数据包，包括完整的TCP/UDP交易和包括一个触发签名的合适的关闭。
2.你的防火墙上的当前应用和威胁数据包。
3.签名的名称和威胁的ID
4.威胁日志。

为什么是解密的数据包捕获？
1.我们需要解密的 pcap。解密的 pcap 可以用来在实验室环境中重放，以重现问题，同时解密的数据包也可以显示流量模式。
2.这可以通过各种方式进行，如通过防火墙与解密端口镜像或在Windows和MacOS上的终端本身。
3.请注意，对于间谍软件签名类型，有时扩展的数据包捕获就足够了，但对于漏洞签名，最好是完整的数据包捕获。

为什么要进行完整的数据包捕获？
1.漏洞签名假阳性调查需要客户提供的数据包捕获。PaloAlto的技术支持通过在实验室重放数据包捕获来重现这个问题。
2.完整的数据包捕获也提供了额外的 "背景"，当确定警报是否是假阳性。
3.针对特定威胁特征ID的扩展数据包捕获不是解决假阳性的理想方案，因为数据包捕获将在违规会话的中途开始捕获。这将导致缺乏会话创建（SYN / SYN-ACK / ACK）的数据包捕获，在没有被篡改的情况下无法正确重放。

操作步骤
1.当前的应用程序和威胁版本。从防火墙的CLI中收集 "显示系统信息 "的输出，或从WebGUI的Dashboard中复制 "一般信息 "窗格。这将显示当前的应用程序和威胁版本。

2.威胁日志。确定问题的再现方法。这可能涉及到与产生触发签名的流量的主机或服务器的互动，或者用不太直接的方法确定签名定期触发的共同来源/目的地/时间。这可以通过评估威胁日志中的可用数据来实现。转到WebGUI > 监控 > 威胁。

3.一旦确定了违规流量的可靠来源和/或目的地，就可以创建数据包捕获。这可以通过网络管理员认为合适的任何方式进行。
在客户端/服务器上基于主机的数据包捕获是可以的，只要它们包括完整的会话创建和产生签名的流量（Wireshark和TCPDUMP是两个例子）。
从PAN-OS设备上抓取数据包也是一种可能! 完整的数据包捕获可以通过过滤特定的流量来产生。

4.威胁ID：请提供被触发的威胁ID号，以及被触发的威胁名称。或者，触发的威胁日志截图也够了。

5.提供背景资料，说明为什么认为该签名触发是假阳性。一些例子可能包括:

1)漏洞签名中对目标操作系统/产品的描述与环境中使用的产品或应用程序不一致。例如，看到一个漏洞签名触发器指定了一个供应商名称、操作系统或应用程序，而众所周知，这个供应商名称、操作系统或应用程序并没有在网络上使用（并且已经被确认为没有在使用）。
2)该流量在被报告之前经过了内部分析，是安全的。

6. 一旦所有这些数据都被收集起来并放入支持案例中，就可以对数据包捕获进行分析，并得出判决和可能的修复.

其他信息:
在SSL/TLS加密流量的情况下，需要对数据包的捕获进行解密。这可以通过各种方式完成，如通过防火墙与解密端口镜像或在Windows和MacOS上的终端本身。

article 如何提交漏洞签名的假阳性 in 配置和实施

如何提交漏洞签名的假阳性