有効にする方法は、HTTP ヘッダー ログを増加しました。

有効にする方法は、HTTP ヘッダー ログを増加しました。

27448
Created On 09/25/18 17:42 PM - Last Modified 04/20/20 23:38 PM


Resolution


概要

このドキュメントでは、野火の送信のログ エントリの詳細ユーザー エージェントの値が表示されないときに、カスタム URL コンテンツ タイプを作成する方法について説明します。

 

パン OS 6.1 のリリース、フォレンジック作業やトラブルシューティング作業に役立つフィールドの HTTP ヘッダー フィールドが追加されました。主な使用例は、脅威分析、次のよう。

    • ユーザーは、web プロキシの背後にあるクライアントからの脅威ログに悪意のある C2 トラフィックの警告し、感染したクライアントを識別するために望んでいます。脅威ログの XFF フィールドは、感染したクライアントを識別するために使用できます。
    • トラフィック、危害を受けたホストの URL のログは、ユーザーを積極的に調査があります。非嫡出ユーザー エージェントまたはおそらくデータの逆浸出 (またはデータ exrusion) を識別するためにクライアントによって使用されるユーザー エージェント文字列を確認することにより、コンピューターからデータの不正転送。
    • トラフィックの調査の間にマルウェアを識別し、URL を提供するために使用ページ悪意のあるドライブで侵害されたホストに関連付けられたエントリします。ただし、リファラーをブロック、リファラーの所有者に警告するリファラーなどのリダイレクトを実行するページは、または他の可能性がある危害を受けたホストなどを見つける何が必要です。
    • 悪意のあるファイルは、web プロキシの背後に感染したホストを識別するために必要になる野火の報告があります。野火レポートの X-前方の値には、ホストを識別できます。

 

これらのフィールドのログは、URL フィルタ リング、脅威、および山火事提出ログのセッションの詳細なログのビューに表示されます。詳細なログ ビューで表示すると、一番下に関連のログが表示されます。関連ログの 1 つを選択して、ビューの内容を変更します。これはこのダイアログ ウィンドウを離れることがなく関連ログの詳細を表示することができます。たとえば、URL フィルタ リングのログ エントリには、ファイルの取得元 URL が明らかにします。このログの詳細は、分析の山火事が発生し取得したファイルの転送に関連付けられている山火事送信ログを表示ことがあります。野火提出ログの詳細は今このイベントに関連付けられている HTTP ヘッダー情報を表示できます。

 

詳細

HTTP ヘッダー情報のログ記録

 

パン-OS 6.1 前

パン OS 6.1 のリリースの前に X 転送の値を表示する URL フィルタ リングのログに元のユーザー列を使用するユーザーができます。これは、デバイスで有効にされるでしょう > セットアップ > コンテンツ id です。

DeviceSetupContentIDURLFiltering.jpg

 

プロパティを編集するギアを選択すると、ソース ユーザー列にこのフィールドの内容を表示する x 転送のボックスを確認します。

CheckXForwardingFor.jpg

この設定は、前提条件はありませんありませんパン OS 6.1 HTTP ヘッダー ログ機能に関連付けられているし、個別に考慮する必要があります。パン OS 6.1 と後、以前の設定に考慮されるかもしれない。

 

パン OS 6.1 と後

URL フィルタ リングのログ HTTP ヘッダーから X 転送の値を別の列になりました。

注: HTTP ヘッダーログは、URL フィルタプロファイルの [設定] タブで有効になっています。

EnableHTTPHeaderLogging.jpg

ログ HTTP ヘッダーは、野火の投稿ログ エントリのログの詳細に表示されます。

 

野火ログに表示する詳細の順に、ログ コンテナーの「ページのみ」URL フィルタ リング セキュリティ プロファイル チェックを外します。このチェック ボックスをオン、URL カテゴリに一致するメインのページだけはメインページ内で読み込まれる可能性がログに記録された、ない後続のページです。このチェックボックスをオフにすると、ログの詳細 HTTP ヘッダーフィールドが設定されますが、ログ記録の量がファイアウォールを圧倒する可能性があります。代わりに、カスタム URL コンテンツ タイプを作成することをお勧めします。

 

ログをフィルタ リング URL に HTTP ヘッダー列を追加します。

  1. モニターで > URL フィルタ リング、新しいものが配置される場所の横にある列を強調することによって、テーブルに新しい列を追加します。
  2. コンテキスト メニューを表示する下向きの三角形を選択します。
  3. 列の一覧を表示する列の上にスライドさせます。一覧の列の選択肢の順序が異なります。

AddingNewColumns.jpg

 

X-転送-の URL、参照元、役に立つことがありますおよび/またはユーザー エージェントは列見出しとして表示されます。これは、どのようにそれは今見るです。

MonitorURLFilteringLogHeaders.jpg

 

ログ テーブルの一番左の列に虫眼鏡アイコンを選択すると、詳細なログ表示ウィンドウが開き HTTP ヘッダーのためのセクションがあるところ

DetailedLogView.jpg

ないすべてのフィールドが表示されます画像の [HTTP ヘッダー] セクションで通知情報を記入しました。場合によっては、ネットワーク接続を行うアプリケーションは、パン OS に知られていません。

 

カスタム URL のコンテンツ タイプの定義

「ログ コンテナー ページのみ」が無効な場合、ファイアウォールのログの量が増加し、望ましくない効果につながることができます。また、カスタム URL コンテンツ タイプを作成することによって、野火 URL 送信エントリの詳細なログ ビューで HTTP ヘッダー フィールド] セクションを設定できます。

  1. まず、コンテンツのタイプを特定します。これを行う1つの良い方法は、セッションのパケットキャプチャを作成することです。
    PCAP_Content Type.png
    上の図では、/public/api/test/pe の GET に関連付けられているコンテンツタイプは "アプリケーション/オクテットストリーム" です。
  2. デバイスに移動 > セットアップ > コンテンツ ID > コンテナ ページ。
  3. [追加] をクリックして、新しいコンテナページオブジェクトを作成します。[
    NewContainerPage.jpg
    追加] をクリックすると、以下の [カスタム URL コンテンツタイプ] ウィンドウが開きます。
  4. 「アプリケーションまたはオクテット-ストリーム」を入力して、追加をを選択します。
    CustomURLContentType.jpg
  5. カスタム URL のコンテンツ タイプのオブジェクトを作成すると、定義済みのオブジェクトが含まれます。
  6. 複数回追加を選択、それらをすべてを追加します。これは、結果、追加されたもののほか、定義済みのオブジェクト。
    AddDefaultOptionsToCustomURLContentType.jpg

野火送信のログ エントリの詳細ユーザー エージェントの値が表示されないときに、このプロセスを繰り返します。

 

所有者: jjosephs
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClIvCAK&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language