PAN-OS 7,1 benutzerdefinierte DNS-Signaturen Sperrliste
34999
Created On 09/25/18 17:39 PM - Last Modified 06/09/23 05:39 AM
Resolution
Palo Alto Netzwerkkunden erhalten möglicherweise Dritten Bedrohungsinformationen, die böswillige Domänen, die Palo Alto Networks möglicherweise nicht in seiner eigenen Signaturen enthält. Ein neues Feature von PAN-OS 7.1, unterstützt auf allen PAN-OS-Geräten mit PAN-OS 7.1 oder höher, kann Kunden eine benutzerdefinierte DNS-Signaturen Blockierliste erstellen.
Lösung:
- Dieses neue Feature ermöglicht Kunden, fügen Sie eine benutzerdefinierte Liste von Domains mit der Doline Funktionalität in der Anti-Spyware-Profil verwendet werden.
- Diese Funktion ist auf alle PAN-OS-Geräte, einschließlich M-100, M-500, und Panorama-VM, laufende PAN-OS 7.1 unterstützt oder höher.
Funktionen im Detail:
- Für jedes Element in der externen dynamischen Liste (EDL) wird eine neue benutzerdefinierte DNS-Spyware Signatur erstellt.
- Der Signaturname für benutzerdefinierte DNS-Doline Signaturen werden "Verdächtige DNS-Abfrage (vollständige Domain-Name)"
- Eine neue Signature-ID wird für jedes Element in der Liste automatisch mit Palette in einem Pool erstellt.
- Signaturtyp werden Spyware mit mittlerer Priorität
- Einschränkungen
- Bis zu 30 EDLs jeglicher Art werden unterstützt
- Bis zu 50.000 Domains werden (systemweit) unterstützt.
- Wenn mehr als 50.000 Domänen vorhanden sind, die ersten 50.000 stammen und ein Systemprotokoll erzeugt werden, darauf hinweist, dass die Kapazität überschritten wurde
- Keine Begrenzung auf einzelne Listen, sondern Ansammlung aller Listen darf 50.000 nicht überschreiten.
- High-End-Plattform-Kapazität (PA-5000 und PA-7000)
- Bis zu 30 EDLs jeglicher Art werden unterstützt
- Bis zu 150.000 insgesamt IPs und 50.000 insgesamt domains
- Die Domain Listen Dateinamen auf dem Remoteserver muss in einem normalen Text-format
- Eine Domain pro Zeile
- Wenn der Graf die Plattform Grenzen überschreitet, scheitert das commit
Konfiguration
- Benutzerdefinierte Sperrlisten der DNS-Signatur können so konfiguriert werden, auf der Registerkarte Objekte > externe dynamische Listen (ehemals dynamische Sperrlisten) mit eine Art von Domain-Liste:
- Block Liste Aktionen werden in der Registerkarte Objekte konfiguriert > Anti-Spyware-Profile. Konfiguriert externe dynamische auflistet, Domain Typ in der Drop-Down-Menü erscheint:
- Beachten Sie, dass standardmäßig unter externe dynamische Liste Domains mit einer Aktion der Doline Palo Alto Networks DNS-Signaturen angezeigt
- Die IPv4 Doline Adresse standardmäßig auf PAN Doline Standard, kann aber geändert werden als gewünscht
- Konfiguration der externen dynamischen Listen kann von der CLI gesetzt werden:
# Satz Shared/<vsys vsys1=""> externe-Liste <tab>
-Liste der aktuellen hinzugefügten Listen
<name>
# Set geteilt/<vsys vsys1=""> externe-Liste <name>
+ Beschreibungs Beschreibung
+ URL URL
+ Typ Typ
> wiederkehrende wiederkehrender
<Enter> Finish-Eingabe
# Set geteilt/ externe-Liste <name>Typ <tab>
Domain-Domain-Liste
IP-IP </tab> </name> </Enter> </name> </vsys> </name> </tab> </vsys> -Liste
- Konfiguration von Anti-Spyware-Profile kann von der CLI gesetzt werden:
# Set geteilt/<vsys vsys1=""> profile Spyware <profilename> <tab>
+ Beschreibungs Beschreibung
> Botnet-Domains Botnet-Domains
> Regeln Regeln
> Bedrohung-Ausnahme-Bedrohung-Ausnahme-Finish-
<Enter> Eingabe
# Set geteilt/<vsys vsys1=""> profile Spyware AS1 bot NET-Domains <tab>
+ Paket-Capture-Paket-Capture
> Liste der Domains (neue Option hinzugefügt)
> Sink Hole Sink Hole (sinkloch-Einstellung gemeinsam mit Listen)
> Bedrohung-Ausnahme-Bedrohung-Ausnahme-
<Enter> Finish-Eingabe
# SE t Shared/<vsys vsys1=""> profile Spyware AS1 Botnet-Namensliste <tab>
...</tab> </vsys> </Enter> </tab> </vsys> </Enter> </tab> </profilename> </vsys> Completion Handler nimmt die entsprechenden Domain-Listen auf...
<name>
# Set geteilt/<vsys vsys1=""> profile Spyware AS1 Botnet-Namen Liste <domain list="" name=""> <tab>
Aktion
# Set geteilt/<vsys vsys1=""> profile Spyware AS1 Botnet-Namen Liste <domain list="" name="">Action <tab>
Alert
erlauben
Block
sinkloch </tab> </domain> </vsys> </tab> </domain> </vsys></name>
- Externe dynamische Listen können manuell aktualisiert werden, mit dem folgenden Befehl:
> Anfrage System externe-Liste Refresh Typ Domain-Namen Custom-DNS-Block-Liste
EDL Refresh Job enqueued
- Die Anfrage wird als Job in die Warteschlange gestellt, und Ihr Status kann mit dem Befehl "Jobs anzeigen" überprüft werden , oder durch das Betrachten von Aufgaben im WebUI
- Job-Typ ist EDLRefresh
- Ausfälle von Download oder EDL-Auffrischung werden in Systemprotokollen und ms. Log aufgezeichnet
High Availability
- Die Textdatei, die Zuordnung von internen Bedrohung-ID zu böswilligen Domänen enthält, wird auf HA Peers auf jedem Commit neu erstellt.