PAN-OS 7,1 benutzerdefinierte DNS-Signaturen Sperrliste

Palo Alto Netzwerkkunden erhalten möglicherweise Dritten Bedrohungsinformationen, die böswillige Domänen, die Palo Alto Networks möglicherweise nicht in seiner eigenen Signaturen enthält. Ein neues Feature von PAN-OS 7.1, unterstützt auf allen PAN-OS-Geräten mit PAN-OS 7.1 oder höher, kann Kunden eine benutzerdefinierte DNS-Signaturen Blockierliste erstellen.

Lösung:

• Dieses neue Feature ermöglicht Kunden, fügen Sie eine benutzerdefinierte Liste von Domains mit der Doline Funktionalität in der Anti-Spyware-Profil verwendet werden.
• Diese Funktion ist auf alle PAN-OS-Geräte, einschließlich M-100, M-500, und Panorama-VM, laufende PAN-OS 7.1 unterstützt oder höher.

Funktionen im Detail:

• Für jedes Element in der externen dynamischen Liste (EDL) wird eine neue benutzerdefinierte DNS-Spyware Signatur erstellt.
  • Der Signaturname für benutzerdefinierte DNS-Doline Signaturen werden "Verdächtige DNS-Abfrage (vollständige Domain-Name)"
  • Eine neue Signature-ID wird für jedes Element in der Liste automatisch mit Palette in einem Pool erstellt.
  • Signaturtyp werden Spyware mit mittlerer Priorität

• Einschränkungen
  • Bis zu 30 EDLs jeglicher Art werden unterstützt
  • Bis zu 50.000 Domains werden (systemweit) unterstützt.
    • Wenn mehr als 50.000 Domänen vorhanden sind, die ersten 50.000 stammen und ein Systemprotokoll erzeugt werden, darauf hinweist, dass die Kapazität überschritten wurde
    • Keine Begrenzung auf einzelne Listen, sondern Ansammlung aller Listen darf 50.000 nicht überschreiten.
• High-End-Plattform-Kapazität (PA-5000 und PA-7000)
  • Bis zu 30 EDLs jeglicher Art werden unterstützt
  • Bis zu 150.000 insgesamt IPs und 50.000 insgesamt domains

• Die Domain Listen Dateinamen auf dem Remoteserver muss in einem normalen Text-format
• Eine Domain pro Zeile
• Wenn der Graf die Plattform Grenzen überschreitet, scheitert das commit

Konfiguration

• Benutzerdefinierte Sperrlisten der DNS-Signatur können so konfiguriert werden, auf der Registerkarte Objekte > externe dynamische Listen (ehemals dynamische Sperrlisten) mit eine Art von Domain-Liste:

• Block Liste Aktionen werden in der Registerkarte Objekte konfiguriert > Anti-Spyware-Profile. Konfiguriert externe dynamische auflistet, Domain Typ in der Drop-Down-Menü erscheint:

• Beachten Sie, dass standardmäßig unter externe dynamische Liste Domains mit einer Aktion der Doline Palo Alto Networks DNS-Signaturen angezeigt
• Die IPv4 Doline Adresse standardmäßig auf PAN Doline Standard, kann aber geändert werden als gewünscht

• Konfiguration der externen dynamischen Listen kann von der CLI gesetzt werden:

# Satz Shared/<vsys vsys1=""> externe-Liste <tab>
-Liste der aktuellen hinzugefügten Listen
<name>

# Set geteilt/<vsys vsys1=""> externe-Liste <name>
+ Beschreibungs Beschreibung
 + URL URL
 + Typ Typ
 > wiederkehrende wiederkehrender
<Enter> Finish-Eingabe

# Set geteilt/ externe-Liste <name>Typ <tab>
Domain-Domain-Liste
 IP-IP </tab> </name>   </Enter>       </name> </vsys> </name>    </tab> </vsys> -Liste

• Konfiguration von Anti-Spyware-Profile kann von der CLI gesetzt werden:

# Set geteilt/<vsys vsys1=""> profile Spyware <profilename> <tab>
+ Beschreibungs Beschreibung
 > Botnet-Domains Botnet-Domains
 > Regeln Regeln
 > Bedrohung-Ausnahme-Bedrohung-Ausnahme-Finish-
<Enter> Eingabe

# Set geteilt/<vsys vsys1=""> profile Spyware AS1 bot NET-Domains <tab>
+ Paket-Capture-Paket-Capture
 > Liste der Domains (neue Option hinzugefügt)
 > Sink Hole Sink Hole (sinkloch-Einstellung gemeinsam mit Listen)
 > Bedrohung-Ausnahme-Bedrohung-Ausnahme-
<Enter> Finish-Eingabe

# SE t Shared/<vsys vsys1=""> profile Spyware AS1 Botnet-Namensliste <tab>
...</tab> </vsys>  </Enter>       </tab> </vsys>  </Enter>       </tab> </profilename> </vsys> Completion Handler nimmt die entsprechenden Domain-Listen auf...
   <name>


# Set geteilt/<vsys vsys1=""> profile Spyware AS1 Botnet-Namen Liste <domain list="" name=""> <tab>
Aktion

# Set geteilt/<vsys vsys1=""> profile Spyware AS1 Botnet-Namen Liste <domain list="" name="">Action <tab>
Alert
 erlauben
 Block
 sinkloch   </tab> </domain> </vsys>  </tab> </domain> </vsys></name>

• Externe dynamische Listen können manuell aktualisiert werden, mit dem folgenden Befehl:

> Anfrage System externe-Liste Refresh Typ Domain-Namen Custom-DNS-Block-Liste

EDL Refresh Job enqueued

• Die Anfrage wird als Job in die Warteschlange gestellt, und Ihr Status kann mit dem Befehl "Jobs anzeigen" überprüft werden , oder durch das Betrachten von Aufgaben im WebUI
• Job-Typ ist EDLRefresh

• Ausfälle von Download oder EDL-Auffrischung werden in Systemprotokollen und ms. Log aufgezeichnet

High Availability

• Die Textdatei, die Zuordnung von internen Bedrohung-ID zu böswilligen Domänen enthält, wird auf HA Peers auf jedem Commit neu erstellt.