Cómo evitar falsos positivos provocados por las firmas recién publicadas.

Descripción: Este artículo describe cómo evitar los falsos positivos provocados por las firmas recién publicadas.
AlcancePara la versión 6.1 y superior.
SoluciónExplicación.

 

Los servidores de Fortiguard lanzan nuevas firmas con frecuencia, por lo que existe la posibilidad de que las nuevas firmas coincidan con el tráfico legítimo y bloqueen el tráfico.

 

Para evitar esta situación desagradable, habilite ‘config waf signature_update_policy’ desde CLI (está habilitado de forma predeterminada), de modo que la acción para las nuevas firmas en la base de datos de firmas recién actualizada se establezca en ‘Solo alerta’ y no realice la acción. establecido en la categoría en el perfil de la firma.

 

``` config waf signature_update_policy set status enable end ```

 

Una vez que se habilita la política de actualización de firmas desde la CLI, se agrega una nueva pestaña «Administración de actualizaciones de firmas» en la página de configuración de FortiGuard, y todas las firmas recién agregadas que se reciben a través de la nueva actualización del servicio de seguridad se muestran aquí con el estado «Sin aplicar». ‘.

 

Además, los administradores pueden monitorear los registros de ataques y ajustar las nuevas firmas en consecuencia.

 

Por ejemplo, la actualización del servicio de seguridad 303 agregó algunas firmas nuevas.

 

 

Para fines de prueba, elijamos una firma 050180007.

 

 

Aunque alert_only no está configurado en la firma 050180007 y la categoría principal de la firma está configurada en ‘Alert-deny’, FortiWeb no bloquea la solicitud HTTP y genera un registro de ataque.

 

Gracias a ‘Signature_Update_Policy’

 

 

El administrador puede verificar si la solicitud HTTP que coincidió con la solicitud es legítima y luego agregar una excepción según sea necesario.

 

Nota.

Según el diseño actual, las firmas recién agregadas en la última base de datos de firmas se moverían al modo de bloqueo automáticamente cuando Fortiweb reciba una nueva base de datos de firmas.

 

Si el administrador cree que las firmas u otros perfiles de seguridad marcan falsamente el tráfico como un ataque debido a que la expresión regular de la firma o el patrón utilizado en la firma es demasiado estricto o incorrecto, recopile la captura de front-end (cliente <-> FWB VIP IP), depure salida (use los mismos comandos mencionados anteriormente) y los registros de ataque y póngase en contacto con el soporte para verificar.

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *