Procédure d’activation a augmenté enregistrement d’en-tête HTTP

Procédure d’activation a augmenté enregistrement d’en-tête HTTP

27456
Created On 09/25/18 17:42 PM - Last Modified 04/20/20 23:38 PM


Resolution


Vue d’ensemble

Ce document décrit comment créer un Type de contenu URL personnalisé chaque fois que le détail d’entrée de journal présentation Wildfire n’affiche pas une valeur pour User-Agent.

 

Avec la sortie de PAN-OS 6.1, champs d’en-tête HTTP ont été ajoutées pour les champs qui aident à la criminalistique et tâches de dépannage. Les cas d’usage primaire sont pour l’analyse des menaces, telles que les suivantes :

    • L’utilisateur est averti du trafic malveillant de C2 dans le journal de la menace d’un client derrière un proxy web, veut identifier les clients infectés. Le champ XFF dans le journal de la menace peut être utilisé pour identifier le client infecté.
    • Un utilisateur peut être activement enquêter sur le trafic et les journaux de l’URL d’un hôte infecté. Examiner les chaînes de l’agent utilisateur utilisés par le client peut aider à identifier les agents utilisateurs illégitimes ou éventuellement données exfiltration (ou données exrusion), le transfert non autorisé de données depuis un ordinateur.
    • Malware est identifié au cours de l’enquête sur le trafic et URL enregistre les entrées associées à un hôte compromis une page malveillante en voiture-par utilisé pour servir. Ce qui est nécessaire, cependant, est la page effectuer la redirection tels que le parrain pour bloquer le parrain, alerter le propriétaire de parrain ou trouver d’autres hôtes éventuellement compromises, etc..
    • Il y a un rapport d’une traînée de poudre pour un fichier malveillant, ce qui rend nécessaire pour identifier l’hôte infecté derrière un proxy web. La valeur de X-avant-pour le rapport d’une traînée de poudre peut identifier l’hôte.

 

L’enregistrement de ces champs est visible dans la vue journal détaillé d’une session dans les journaux de filtrage d’URL, la menace et la soumission de Wildfire. Lors de l’affichage de l’avis du journal détaillé, il affichera les journaux liés au fond. Lorsque vous sélectionnez un des journaux associés, le contenu de la vue change. Cela permet d’afficher les détails entre les rondins connexes sans avoir à quitter cette fenêtre de dialogue. Par exemple, une entrée de journal de filtrage d’URL révèle l’URL à partir de laquelle un fichier a été récupéré. Le détail de ce journal peut afficher le journal de soumission Wildfire associé à la transmission du fichier consulté aux incendies de forêt pour analyse. Les détails du journal de soumission d’une traînée de poudre peuvent désormais afficher des informations d’en-tête HTTP associées à cet événement.

 

Détails

Enregistrement des informations d’en-tête HTTP

 

Avant PAN-OS 6.1

Avant la sortie de PAN-OS 6.1, les utilisateurs pourraient choisir d’utiliser la colonne Source utilisateur dans le journal de filtrage d’URL pour afficher la valeur de X-Forwarded-For. Cela serait activé en dispositif > Setup > Content-ID.

DeviceSetupContentIDURLFiltering.jpg

 

Une fois le train pour modifier les propriétés est sélectionné, cochez la case x-forwarded-for pour afficher le contenu de ce champ dans la colonne utilisateur Source.

CheckXForwardingFor.jpg

Ce paramètre n’est pas une condition sine qua non pour, ni est il associé, la fonctionnalité d’enregistrement de l’en-tête HTTP de PAN-OS 6.1 et devrait être examiné séparément. PAN-OS 6.1 et plus tard, on peut considérer être un paramètre hérité.

 

PAN-OS 6.1 et plus tard

Le journal de filtrage d’URL a maintenant une colonne distincte pour la valeur de X-transmis-pour de l’en-tête HTTP.

Remarque: l'enregistrement d'En-tête http est activé dans l'Onglet paramètres d'Un profil de filtrage D'URL.

EnableHTTPHeaderLogging.jpg

L’en-tête HTTP logging est visible dans le détail du journal d’une entrée de journal de présentations d’une traînée de poudre.

 

Afin que ce détail s’affiche dans le journal d’une traînée de poudre, supprimer la coche dans la « journal page conteneur uniquement » dans le profil de sécurité filtrage d’URL. Lorsque cette case est cochée uniquement la page d’accueil qui correspond à une catégorie d’URL est connectés, pas tout les pages qui peuvent être chargés dans la page d’accueil. Décocher cette case remplit les champs d'en-tête http détail du journal, mais la quantité de journalisation peut submerger le pare-feu. Au lieu de cela, il est recommandé de créer un Type de contenu URL personnalisé.

 

Ajout de colonnes d’en-tête HTTP pour le journal de filtrage d’URL

  1. Dans le moniteur > filtrage d’URL, ajoutez les nouvelles colonnes dans la table en mettant en évidence une colonne à côté où seront placés les neufs.
  2. Sélectionnez le triangle vers le bas pour exposer le menu contextuel.
  3. Glissez sur les colonnes pour afficher la liste des colonnes. L’ordre des choix dans la liste colonne variera.

AddingNewColumns.jpg

 

Il peut être utile d’avoir des URL, X-Forwarded-For, parrain, et/ou de l’Agent utilisateur affiché comme en-têtes de colonnes. C’est à quoi il ressemblera maintenant :

MonitorURLFilteringLogHeaders.jpg

 

Cliquant sur l’icône de loupe dans la colonne la plus à gauche de la table du journal pour ouvrir la fenêtre de vue journal détaillé, où il y a une section pour les en-têtes HTTP

DetailedLogView.jpg

Avis dans la section en-têtes HTTP dans l’image, que pas tous les champs apparaîtront rempli avec les informations. Parfois, l’application qui effectue la connexion réseau ne connaît pas de PAN-OS.

 

Définition d’un Type de contenu URL personnalisée

Si « Journal conteneur Pages seulement » est désactivé, le montant de la consignation sur le pare-feu augmente, qui peut conduire à des effets indésirables. Par ailleurs, la section champs de l’en-tête HTTP peut être remplie selon le journal détaillé d’une entrée de Wildfire URL soumission en créant un type de contenu URL personnalisé.

  1. Tout d’abord, identifiez le type de contenu. Une bonne façon de le faire est de créer une capture de paquets d'une session.
    PCAP_Content-Type.png
    Dans L'image ci-dessus, le type de contenu associé à L'GET de/public/API/test/PE est "application/octet-stream".
  2. Allez dans appareil > Setup > Content ID > conteneur Pages.
  3. Cliquez sur Ajouter pour créer un nouvel objet page conteneur.
    NewContainerPage.jpg
    En cliquant sur Ajouter, vous ouvrez la fenêtre type de contenu URL personnalisée ci-dessous.
  4. Sélectionnez Ajouter à nouveau pour accéder à « application/octet-stream ».
    CustomURLContentType.jpg
  5. Lorsque vous créez un objet de Type de contenu URL personnalisée, inclure les objets prédéfinis.
  6. Sélectionnez Ajouter plusieurs fois pour ajouter tous les. Cela se traduit par des objets prédéfinis en plus de celles ajoutées.
    AddDefaultOptionsToCustomURLContentType.jpg

Répéter ce processus chaque fois que le détail d’entrée de journal présentation Wildfire n’affiche pas une valeur pour User-Agent.

 

propriétaire : jjosephs
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClIvCAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language