Gewusst wie: Aktivieren Sie erhöht HTTP-Header Logging

Übersicht

Dieses Dokument beschreibt, wie eine benutzerdefinierte URL Inhaltstyp erstellen, wenn das Wildfire Vorlage Log Eintrag Detail keinen Wert für User-Agent angezeigt wird.

Mit der Veröffentlichung von PAN-OS 6.1 http-Header-Felder für Felder hinzugekommen, die Forensik und Problembehandlung Aufgaben zu unterstützen. Die wichtigsten Anwendungsfälle sind für Threat-Analyse, wie z. B. die folgenden:

• Ein Benutzer alarmiert von bösartigen C2 Datenverkehr im Bedrohung Protokoll von einem Client hinter einem Webproxy und der infizierten Client identifizieren will. Das XFF Feld im Protokoll Bedrohung kann verwendet werden, identifizieren des infizierten Clients.
• Ein Benutzer kann aktiv den Verkehr und die URL Protokolle von einem kompromittierten Rechner ermitteln. Anhand der vom Client verwendeten Benutzeragentzeichenfolgen können illegitime User-Agents oder möglicherweise Daten Exfiltration (oder Daten Exrusion), identifizieren die unberechtigte Weitergabe von Daten von einem Computer.
• Malware wird während der Untersuchung des Datenverkehrs identifiziert und URL protokolliert Einträge zugeordnet einen kompromittierten Rechner eine bösartige vorbeifahren Seite zum servieren verwendet. Was ist erforderlich, jedoch ist die Seite, die Durchführung der Umleitungs wie der Referrer auf die Referrer zu blockieren, warnen die Referrer-Besitzer oder anderen möglicherweise kompromittierten Hosts, etc. zu finden.
• Es ist ein Lauffeuer-Bericht für eine schädliche Datei, macht es notwendig, den infizierten Host hinter einem Webproxy zu identifizieren. Der Wert X-Forward-für im WildFire Bericht kann den Host zu identifizieren.

Die Protokollierung dieser Felder ist in der Ansicht ausführliches Protokoll einer Sitzung in die URL-Filterung, Bedrohung und Wildfire Unterwerfung Protokolle sichtbar. Wenn Sie in die detaillierte Log-Ansicht anzeigen, zeigt es verwandte Protokolle an der Unterseite. Bei der Auswahl eines der zugehörigen Protokolle, den Inhalt der Ansicht ändert. Dies erlaubt es, die Details zwischen verwandten Protokolle ohne dieses Dialogfenster zu verlassen. Ein URL-Filterung Log-Eintrag zeigt beispielsweise die URL eine Datei entnommen wurde. Die Details dieses Protokolls kann das Wildfire Vorlage Protokoll verbunden mit der Weiterleitung der abgerufenen Datei, Wildfire für Analyse zeigen. Das Detail des Wildfire Vorlage Protokoll kann jetzt http-Headerinformationen im Zusammenhang mit dieser Veranstaltung anzeigen.

Details

Protokollierung von HTTP-Header Informationen

Vor dem PAN-OS 6.1

Vor der Veröffentlichung von PAN-OS 6.1 können Benutzer die Spalte "Quellbenutzer" in der URL-Filterung-Protokoll verwenden, um den X-Forwarded-For-Wert anzuzeigen. Dies würde im Gerät aktiviert werden > Setup > Inhalt-ID.

Der Gang zum Bearbeiten der Eigenschaften ausgewählt, Kontrollkästchen Sie das X-forwarded-for um den Inhalt dieses Feldes in der Spalte Quellbenutzer anzuzeigen.

Diese Einstellung ist nicht Voraussetzung für, noch ist es mit der PAN-OS 6.1 HTTP-Header Logging-Funktion verbunden und getrennt betrachtet werden. In PAN-OS 6.1 und höher, kann es gelten eine veraltete Einstellung sein.

PAN-OS 6.1 und höher

Das URL-Filterung-Protokoll weist nun eine separate Spalte für den X-weitergeleitet-FOR-Wert aus der http-Header.

Hinweis: die HTTP-Header-Protokollierung ist auf der registerKarte Einstellungen in einem URL-Filter Profil aktiviert.

Der HTTP-Header logging ist in die Protokolldetails eines Protokolleintrags Wildfire Einreichungen sichtbar.

Entfernen Sie in Reihenfolge für dieses Detail in Wildfire Log angezeigt wird das Häkchen in "Log Container nur die Seite" in der URL-Filterung Sicherheitsprofil. Wenn dieses Kontrollkästchen aktiviert ist, ist nur die Hauptseite, die eine URL-Kategorie entspricht protokollierten, keine nachfolgenden Seiten, die innerhalb der Hauptseite geladen werden können. Wenn Sie dieses Kästchen deaktivieren, wird das Log-Detail HTTP-Header-Felder bevölkern, aber die Menge der Protokollierung könnte die Firewall überwältigen. Stattdessen empfiehlt es sich, einen benutzerdefinierten URL-Inhaltstyp zu erstellen.

Die URL-Filterung Protokoll HTTP-Header Spalten hinzufügen

1. Im Monitor > URL-Filterung, die neuen Spalten der Tabelle durch Markieren einer Spalte neben die neue platziert hinzufügen.
2. Wählen Sie die nach unten Dreieck, das Kontextmenü verfügbar zu machen.
3. Schieben Sie über Spalten die Liste der Spalten angezeigt werden sollen. Die Reihenfolge der Spalte Optionen in der Liste wird variieren.

Es kann sinnvoll sein, URL, X-Forwarded-For, Referrer, haben und/oder User-Agent als Spaltenüberschriften angezeigt. Dies ist, wie es jetzt aussieht:

Das Lupe-Symbol in der linken Spalte von der Protokolltabelle auswählen wird öffnen Sie das Fenster detaillierte Protokollierung, wo gibt es ein Abschnitt für die HTTP-Header

Beachten Sie im Abschnitt HTTP-Header in das Bild, das, dem nicht alle Felder ausgefüllt mit Informationen angezeigt werden. Manchmal ist die Anwendung, die die Netzwerkverbindung herstellen ist PAN-OS nicht bekannt.

Definieren eines benutzerdefinierten URL-Inhaltstyps

Wenn "Log Container nur Seiten" deaktiviert ist, erhöht sich die Menge der Protokollierung auf der Firewall, was zu unerwünschten Effekten führen kann. Alternativ kann im Abschnitt HTTP-Header-Felder in der detaillierten Protokollansicht eines Wildfire URL Anmeldung Eintrag durch Erstellen eines benutzerdefinierten URL-Inhaltstyps gefüllt werden.

1. Ermitteln Sie zuerst den Content-Type. Eine gute Möglichkeit, dies zu tun, ist die Erstellung einer Paket Aufzeichnung einer Session.
   
   Im Bild oben ist der Content-Type, der mit dem Get of/Public/API/Test/PE verbunden ist, "application/octet-stream".
2. Gerät zur > Setup > Content-ID > Containerseiten.
3. Klicken Sie auf HinzuFügen, um ein neues Container Seiten Objekt zu erstellen. Mit
   
   einem Klick auf Add öffnet sich das FensterBenutzer definierte URL-Inhalte.
4. Wählen Sie hinzufügen "Anwendung/Octet-Stream" wieder geben.
   
5. Wenn Sie eine benutzerdefinierte URL Content-Type-Objekt zu erstellen, sind die vordefinierten Objekte.
6. Wählen Sie Add mehrmals alle hinzufügen. Dies führt zu vordefinierten Objekte zusätzlich zu den hinzugefügt.
   

Wiederholen Sie diesen Vorgang, wenn das Wildfire Vorlage Log Eintrag Detail keinen Wert für User-Agent angezeigt wird.

Besitzer: Jjosephs