脆弱性シグネチャ誤検知 (false positive) の対応方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

How to submit a vulnerability signature false positive

https://live.paloaltonetworks.com/t5/Threat-Articles/How-to-submit-a-vulnerability-signature-false-p...

 

概要

脆弱性シグネチャ誤検知については、下記で記述した情報をご提供くださいますようお願い致します。 

 

脆弱性誤検知は、 ウイルス誤検知とは異なる症状となります。ウイルス誤検知の場合、サンプルとなるファイルに対し調査を行ないますが、脆弱性誤検知の場合、シグネチャがトリガされた際のネットワーク上の通信内容に対し調査を行います。そのため、シグネチャがトリガされた際のクライアント、サーバー間の完全なTCP/UDPの通信内容が含まれるパケット キャプチャを御提供いただく必要があります。

 

脆弱性誤検知の調査については、お客様から頂戴したパケット キャプチャを弊社環境で再現することが最低限必要となります。脆弱性誤検知か否かの判断を行うにあたり、シグネチャがトリガした通信内容を把握する観点からも、シグネチャがトリガされた際のクライアント、サーバー間の完全なTCP/UDPの通信内容が含まれるパケット キャプチャが必要な情報となります。

 

SYN / SYN ACK / ACK 等が記録されていないパケット キャプチャを調査に用いた場合、弊社環境で再現試験を行った結果、お客様環境で発生している脆弱性誤検知の再現に至りません。

 

取得する情報

  1. "show system info" コマンドの出力結果もしくは、WebGUI の Dashboard > "一般的な情報" のスクリーン キャプチャ。
  2. 事象の再現方法、クライアント、サーバーのいずれかが生成した通信が原因となるのかの切り分け、発生日時の把握。これらは、脅威ログを分析することで実施できます。WebGUI  の Monitor > "脅威" で脅威ログが確認できます。
  3. パケット キャプチャ。パケット キャプチャは、PAN-OS アプライアンスで採取いただいたものでも、クライアント、サーバー上で採取いただくものでもどちらでも結構です。(ただし、シグネチャがトリガされた際のクライアント、サーバー間の完全なTCP/UDPの通信内容が含まれるパケット キャプチャであること)。PAN-OS アプライアンスで採取いただく場合は、 こちらの手順をご参照ください。https://live.paloaltonetworks.com/t5/Featured-Articles/Getting-Started-Packet-Capture/ta-p/72069
  4. 脅威 ID。トリガされたシグネチャの脅威ID/脅威名を確認ください。例:脅威 ID 37001 | Microsoft Internet Explorer Memory Corruption Vulnerability。脅威ログのスクリーン ショットでも結構です。
  5. 誤検知として判断された技術的背景のご説明。具体的には、トリガされたシグネチャの対象となるオペレーション システム/製品が、御利用のものと一致していない、といった内容や、該当通信が正常なものとして既に調査済みであるなどの内容を記載ください。

 上記の情報が採取いただき、サポート ケース上にご提供いただくことで、脆弱性誤検知の調査が可能となります。