症状
漏洞假阳性,即良性网络流量被识别为漏洞并触发漏洞签名。
环境问题
所有PAN-OS版本。
原因
流量可能被误认为是漏洞之一。
解决方法
漏洞签名是以网络流量为基础的,因此,重点在于签名启动时在网络上看到的数据,并怀疑它是一个假阳性。提供以下内容是最重要的:
1.一个完整的解密数据包,包括完整的TCP/UDP交易和包括一个触发签名的合适的关闭。
2.你的防火墙上的当前应用和威胁数据包。
3.签名的名称和威胁的ID
4.威胁日志。
为什么是解密的数据包捕获?
1.我们需要解密的 pcap。 解密的 pcap 可以用来在实验室环境中重放,以重现问题,同时解密的数据包也可以显示流量模式。
2.这可以通过各种方式进行,如通过防火墙与解密端口镜像或在Windows和MacOS上的终端本身。
3.请注意,对于间谍软件签名类型,有时扩展的数据包捕获就足够了,但对于漏洞签名,最好是完整的数据包捕获。
为什么要进行完整的数据包捕获?
1.漏洞签名假阳性调查需要客户提供的数据包捕获。PaloAlto的技术支持通过在实验室重放数据包捕获来重现这个问题。
2.完整的数据包捕获也提供了额外的 "背景",当确定警报是否是假阳性。
3.针对特定威胁特征ID的扩展数据包捕获不是解决假阳性的理想方案,因为数据包捕获将在违规会话的中途开始捕获。这将导致缺乏会话创建(SYN / SYN-ACK / ACK)的数据包捕获,在没有被篡改的情况下无法正确重放。
操作步骤
1.当前的应用程序和威胁版本。从防火墙的CLI中收集 "显示系统信息 "的输出,或从WebGUI的Dashboard中复制 "一般信息 "窗格。这将显示当前的应用程序和威胁版本。
2.威胁日志。确定问题的再现方法。这可能涉及到与产生触发签名的流量的主机或服务器的互动,或者用不太直接的方法确定签名定期触发的共同来源/目的地/时间。这可以通过评估威胁日志中的可用数据来实现。转到WebGUI > 监控 > 威胁。
3.一旦确定了违规流量的可靠来源和/或目的地,就可以创建数据包捕获。这可以通过网络管理员认为合适的任何方式进行。
在客户端/服务器上基于主机的数据包捕获是可以的,只要它们包括完整的会话创建和产生签名的流量(Wireshark和TCPDUMP是两个例子)。
从PAN-OS设备上抓取数据包也是一种可能! 完整的数据包捕获可以通过过滤特定的流量来产生。
4.威胁ID:请提供被触发的威胁ID号,以及被触发的威胁名称。或者,触发的威胁日志截图也够了。
5.提供背景资料,说明为什么认为该签名触发是假阳性。一些例子可能包括:
1)漏洞签名中对目标操作系统/产品的描述与环境中使用的产品或应用程序不一致。例如,看到一个漏洞签名触发器指定了一个供应商名称、操作系统或应用程序,而众所周知,这个供应商名称、操作系统或应用程序并没有在网络上使用(并且已经被确认为没有在使用)。
2)该流量在被报告之前经过了内部分析,是安全的。
6. 一旦所有这些数据都被收集起来并放入支持案例中,就可以对数据包捕获进行分析,并得出判决和可能的修复.
其他信息:
在SSL/TLS加密流量的情况下,需要对数据包的捕获进行解密。这可以通过各种方式完成,如通过防火墙与解密端口镜像或在Windows和MacOS上的终端本身。
