Trafic inattendu vu de l'Agent user-ID

Demande client

Le trafic inattendu est vu de l'agent user-ID sur les ports UDP 135 et 137.

• L'application est répertoriée comme incomplète, MSRPC ou NetBIOS-ns.
• La destination semble être des adresses IP publiques aléatoires.
• Il ya beaucoup d'événements événement 10009 événements DCOM dans le journal système sous l'Observateur d'Événements sur l'Agent.

Cause

Ce problème peut se produire si l'ID utilisateur est activé sur la zone non fiable (face publique) et que le sondage WMI est activé sur l'Agent d'id utilisateur. Le problème se produit parce que toutes les connexions entrantes sourcing de la zone de face publique sera probablement une adresse IP inconnue, car User-ID est activé sur cette zone, le pare-feu de Palo Alto Networks va tenter d'identifier le mappage utilisateur pour l'adresse IP source. Étant donné que le mappage n'existe pas sur le pare-feu ou l'agent user-ID, l'agent tentera de résoudre le mappage utilisateur IP via une sonde WMI, qui échouera très probablement. Cela peut provoquer des problèmes de performances sur le pare-feu et l'agent.

Le trafic généré et envoyé à la zone de face publique est comme indiqué ci-dessous, voir le trafic destiné à une adresse IP publique aléatoire et destiné au port 137, et l'application est NetBIOS-NS:

Voir ci-dessous le trafic pour l'application MSRPC et parfois incomplet:

Résolution

N'activez pas l'ID utilisateur sur la zone de face publique. Dans la plupart des cas, l'ID utilisateur ne doit être activé que sur les zones approuvées ou internes. Si l'ID utilisateur est activé sur la zone de la face publique, puis désactivez-le en allant dans le réseau > zones > et cliquez sur la zone de non-confiance et décochez la case "activer l'Identification de l'utilisateur":

La configuration de zone finale doit ressembler à L'exemple ci-dessous:

propriétaire : jteetsel