Cómo habilitar el mayor registro de encabezado HTTP

Resumen

Este documento describe cómo crear un tipo de contenido de URL personalizado siempre que el detalle de entrada de registro de presentación de Wildfire no muestra un valor para el agente de usuario.

Con el lanzamiento de PAN OS 6.1, se han añadido los campos de encabezado HTTP para los campos que ayudar con el análisis forense y las tareas de reparación. Los casos de uso primarios son para análisis de amenazas, tales como las siguientes:

• Un usuario es alertado de tráfico malicioso de C2 en el registro de amenaza desde un cliente detrás de un proxy web y quiere identificar al cliente infectado. El campo XFF en el registro de amenaza puede utilizarse para identificar al cliente infectado.
• Un usuario puede ser investigando activamente el tráfico y los registros de la dirección URL de un anfitrión comprometido. Revisión de las cadenas de agente de usuario utilizadas por el cliente puede ayudar a identificar los agentes de usuario ilegítimo o posiblemente exfiltration de datos (o datos exrusion), la transferencia no autorizada de datos desde un ordenador.
• Malware se identifica durante la investigación del tráfico y URL registra las entradas asociadas con un anfitrión comprometido una página encubiertas que solía servir. Lo que es necesario, sin embargo, es la página de realizar la redirección como el referente al referente del bloque, alerta al propietario referente o encontrar otros servidores posiblemente comprometidos, etcetera.
• Hay un reporte de incendios forestales para un archivo malicioso, que se hace necesario para identificar el host infectado detrás de un proxy web. El valor de X-hacia adelante-para el informe incendios forestales puede identificar el host.

La tala de estos campos es visible en la vista de registro detallado de una sesión en los registros de filtrado de URL, la amenaza y la sumisión de incendios forestales. Cuando se ve en la vista de registro detallado, mostrará registros relacionados en la parte inferior. Al seleccionar uno de los registros relacionados con el contenido de los cambios de la vista. Esto permite ver los detalles entre registros relacionados sin tener que salir de esta ventana de diálogo. Por ejemplo, una entrada de registro filtrado de URL muestra la URL de la cual un archivo fue obtenido. El detalle de este registro puede mostrar el registro de incendios forestales presentación asociado con el reenvío del archivo obtenido a incendios forestales para el análisis. El detalle de los registros de incendios forestales presentación puede mostrar información de encabezado HTTP asociado a este evento.

Detalles

Registro de información de encabezado HTTP

Antes PAN-OS 6.1

Antes del lanzamiento de PAN OS 6.1, los usuarios pueden elegir utilizar la columna de usuario de la fuente en el registro filtrado de URL para mostrar el valor de X-Forwarded-For. Esto sería permitido en dispositivo > Configuración > contenido-ID.

Una vez seleccionado el equipo para editar las propiedades, marque la casilla x-forwarded-for para mostrar el contenido de este campo en la columna de usuario de origen.

Este ajuste no es un requisito previo para, ni es asociado con la función de registro de encabezado HTTP de PAN OS 6.1 y debe considerarse por separado. En PAN-OS 6.1 y más adelante, se puede considerar para ser un entorno heredado.

PAN-OS 6.1 y más adelante

El registro de filtrado de URL ahora tiene una columna independiente para el valor de X-enviados-para el encabezado de HTTP.

Nota: el registro de encabezado HTTP está habilitado en la ficha Configuración de un perfil de filtrado de URL.

El encabezado de HTTP registro es visible en el detalle del registro de un registro de las presentaciones de incendios forestales.

En el fin de que este dato aparezca en el registro de incendios forestales, quitar el cheque en el "registro página contenedora sólo" en el perfil de seguridad de filtrado de URL. Cuando esta casilla está marcada sólo la Página principal que coincide con una categoría de URL es páginas registradas, no cualquier posteriores que pueden cargarse en la Página principal. Al desmarcar esta casilla se rellenarán los campos de encabezado HTTP de detalle de registro, pero la cantidad de registro podría abrumar al cortafuegos. En cambio, se recomienda crear un tipo de contenido de URL personalizadas.

Agregar columnas de encabezado HTTP para el registro de filtrado de URL

1. En el Monitor > filtrado de URL, agregar nuevas columnas a la tabla, destacando una columna al lado de donde se colocarán los nuevos.
2. Seleccione el triángulo hacia abajo para exponer el menú contextual.
3. Deslice sobre columnas para mostrar la lista de columnas. Varía el orden de las opciones de la columna en la lista.

Puede ser útil tener la URL, X-Forwarded-For, referencias, o agente de usuario aparece como encabezados de columna. Se trata de cómo ahora se verá:

Seleccione el icono de lupa en la columna de la izquierda de la mesa de registro se abrirá la ventana de vista de la opción registro detallado, donde hay una sección para los jefes del HTTP

Aviso en la sección de encabezados HTTP de la imagen que no todos los campos aparecerá rellena con información. A veces, la aplicación que está haciendo la conexión de red no se sabe a PAN-OS.

Definir un tipo de contenido de URL personalizados

Si "Registro contenedor páginas sólo" está desactivada, aumenta la cantidad de registro en el servidor de seguridad, que puede conducir a efectos no deseados. Alternativamente, la sección de campos de encabezado HTTP se puede rellenar en la vista de registro detallado de una entrada de Wildfire URL presentación creando un tipo de contenido de URL personalizado.

1. En primer lugar, identificar el tipo de contenido. Una buena manera de hacerlo es crear una captura de paquetes de una sesión.
   
   En la imagen anterior, el tipo de contenido asociado con el get de/Public/API/test/PE es "Application/octeto-Stream".
2. Ir a dispositivo > configuración > contenido ID > envase páginas.
3. Haga clic en Agregar para crear un nuevo objeto de página contenedora.
   
   Al hacer clic en agregar se abrirá la ventana del tipo de contenido URL personalizado.
4. Seleccione Añadir otra vez para entrar en "application/octet-stream".
   
5. Al crear un objeto de tipo de contenido de URL personalizado, incluyen los objetos predefinidos.
6. Seleccione agregar varias veces para agregar a todos. Esto resulta en objetos predefinidos, además de los que ha añadido.
   

Repita este proceso cada vez que el detalle de entrada de registro de presentación de Wildfire no muestra un valor para el agente de usuario.

Propietario: jjosephs