Bases de Monitor de tráfico filtrado
Resolution
¿Necesita ayuda para buscar los archivos de registro? Utilizar expresiones de filtro para clasificar registros innecesarios y mostrar sólo las entradas del registro que necesita. Los filtros también se pueden combinar usando y o o y paréntesis () para afinar la búsqueda. User gmchenry proporciona algunos consejos útiles sobre el uso de filtros para hacer la búsqueda un poco más fácil.
Ejemplos y métodos de filtrado
Este documento muestra varios métodos de filtrado y búsqueda de tipos específicos de tráfico en Palo Alto Networks firewalls. Categorías de filtros incluyen host, zona, puerto o fecha y hora. Al final de la lista, se incluyen algunos ejemplos que combinan varios filtros para la búsqueda más amplia.
Las siguientes son algunas ideas de filtro básico para empezar.
Ejemplos de filtros de tráfico de host
DE HOST a.a.a.a
(addr.src en a.a.a.a)
ejemplo: (addr.src en 1.1.1.1)
Explicación: muestra todo el tráfico desde el host dirección ip que coincide con 1.1.1.1 (addr.src en a.a.a.a)
PARA b.b.b.b
(addr.dst en b.b.b.b)
ejemplo: (addr.dst en 2.2.2.2)
Explicación: muestra todo el tráfico con una dirección de destino de un host que coincida con 2.2.2.2
DE HOST a.a.a.a TO HOST b.b.b.b
(addr.src en a.a.a.a) y (addr.dst en b.b.b.b)
ejemplo: (addr.src en 1.1.1.1) y (addr.dst en 2.2.2.2)
Explicación: muestra todo el tráfico que viene desde un host con una dirección IP 1.1.1.1 y va a un host
Dirección de destino de 2.2.2.2
AL RANGO DE HOST
Nota: Usted no puede especificar un real pero puede usar la notación de CIDR para especificar un intervalo de direcciones de red
(addr.src en a.a.a.a/CIDR)
ejemplo: (addr.src en 10.10.10.2/30)
Expanation: muestra todo el tráfico procedente de direcciones que van desde 10.10.10.1 - 10.10.10.3.
A o HOST a.a.a.a
(addr en a.a.a.a)
ejemplo: (addr en 1.1.1.1)
Explicación: muestra todo el tráfico con una fuente OR destino dirección de un host que coincida con 1.1.1.1
Ejemplos de filtros de tráfico de zona
DE zona zone_a
(zone.src eq zone_a)
ejemplo: (zone.src eq PROTECT)
Explicación: muestra todo el tráfico procedente de la zona de protección
A zona zone_b
(zone.dst eq zone_b)
ejemplo: (zone.dst eq fuera)
Explicación: muestra todo el tráfico va hacia fuera de la zona exterior
DE zona zone_a en zona zone_b
(zone.src eq zone_a) y (zone.dst eq zone_b)
ejemplo: (zone.src eq PROTECT) y (zone.dst eq fuera)
Explicación: muestra todo el tráfico desde la zona de protección y salir de la zona exterior
Ejemplos de filtros de tráfico de Puerto
DEL puerto aa
(port.src eq aa)
ejemplo: (port.src eq 22)
Explicación: muestra todo el tráfico viaja desde Puerto de la fuente 22
Puerto AA
(port.dst eq bb)
ejemplo: (port.dst eq 25)
Explicación: muestra todo el tráfico de personas viajando a Puerto de destino 25
DE puerto a Puerto aa bb
(port.src eq aa) y (port.dst eq bb)
ejemplo: (port.src eq 23459) y (port.dst eq 22)
Explicación: muestra todo el tráfico viaja desde Puerto de origen 23459 y viajar a Puerto de destino 22
DE todos los puertos menos de o igual a Puerto aa
(leq port.src aa)
ejemplo: (port.src leq 22)
Explicación: muestra todo el tráfico viaja desde puertos de la fuente 1-22
DE todos los puertos mayor que o igual a Puerto aa
(port.src geq aa)
ejemplo: (port.src geq 1024)
Explicación: muestra todo el tráfico de puertos 1024-65535 de la fuente
AA todos los puertos menos de o igual a Puerto
(leq port.dst aa)
ejemplo: (leq port.dst 1024)
Explicación: muestra todo el tráfico viaja a los puertos de destino 1-1024
AA todos los puertos mayor que o igual a Puerto
(port.dst geq aa)
ejemplo: (port.dst geq 1024)
Explicación: muestra todo el tráfico viaja a los puertos de destino 1024-65535
DE rango de puertos a través de bb aa
(port.src geq aa) y (port.src leq bb)
ejemplo: (port.src geq 20) y (port.src leq 53)
Explicación: muestra todo el tráfico desde el rango de puertos de fuente 20-53
AL intervalo de puertos a través de bb aa
(port.dst geq aa) y (port.dst leq bb)
ejemplo: (port.dst geq 1024) y (port.dst leq 13002)
Explicación: muestra todo el tráfico viaja a los puertos de destino 1024-13002
Ejemplos de filtros de tráfico de fecha
TODO tráfico para un específico fecha aaaa/mm/dd y hora HH
(receive_time eq ' yyyy/mm/dd HH')
ejemplo: (receive_time eq ' 2015/08/31 8:30 ')
Explicación: muestra todo el tráfico que se recibió el 31 de agosto de 2015 en 8:30
TODOS tráfico recibido en o antes de la fecha aaaa/mm/dd y hora HH
(receive_time leq ' yyyy/mm/dd HH')
ejemplo: (receive_time leq ' 2015/08/31 8:30 ')
Explicación: muestra todo el tráfico que fue recibido en o antes del 31 de agosto de 2015 en 8:30
TODOS tráfico recibido en o después de la fecha aaaa/mm/dd y hora HH
(receive_time geq ' yyyy/mm/dd HH')
ejemplo: (receive_time geq ' 2015/08/31 8:30 ')
Explicación: muestra todo el tráfico que fue recibido en o después del 31 de agosto de 2015 en 8:30
TODOS tráfico recibidas entre la fecha y hora rango de aaaa/mm/dd HH y AAAA/MM/DD
HH
(receive_time geq ' yyyy/mm/dd HH') y (receive_time leq ' YYYY/MM/DD HH')
ejemplo: (receive_time geq ' 08/2015/30 8:30 ') y (receive_time leq ' 2015/08/31 1:25 ')
Explicación: muestra todo el tráfico que se recibió entre el 30 de agosto de 2015 8:30 y 31 de agosto de 2015
1:25
Ejemplos de filtros de tráfico del interfaz
TODO tráfico entrante en interfaz interface1 / x
(interface.src eq ' ethernet1 / x')
ejemplo: (interface.src eq ' ethernet1/2')
Explicación: muestra todo el tráfico que se recibió en la interfaz Ethernet 1/2 del cortafuegos de PA
TODO tráfico saliente en interfaz interface1 / x
(interface.dst eq ' ethernet1 / x')
ejemplo: (interface.dst eq ' ethernet1/5')
Explicación: muestra todo el tráfico que fue enviado en la interfaz Ethernet 1/5 del cortafuegos de PA
Ejemplos de filtros de tráfico permitido o no
TODO EL TRÁFICO QUE HA SIDO PERMITIDO POR LAS REGLAS DEL FIREWALL
(permitir la acción eq)
O
(neq acción denegar)
ejemplo: (permitir la acción eq)
Explicación: muestra todo el tráfico permitido por las reglas de firewall. Colocar la letra n delante de
'eq' significa 'no es igual,' algo no es igual a 'negar' aparece, que es cualquier tráfico permitido.
TODO EL TRÁFICO POR LAS REGLAS DEL FIREWALL
(negar la acción eq)
O
(permitir la acción neq)
ejemplo: (acción eq denegar)
Explicación: muestra todo el tráfico por las reglas del firewall. Colocar la letra n delante de
'eq' significa 'no es igual,' algo no es igual a 'permitir' aparece, que es cualquier tráfico denegado.
Ejemplos de filtros de tráfico combinando
Todo el tráfico de la zona exterior y la red 10.10.10.0/24 para alojar la dirección 20.20.20.21 en la zona de protección:
(zone.src eq fuera) y (addr.src en 10.10.10.0/24) y (addr.dst en 20.20.20.21) y (zone.dst eq PROTECT)
TODO EL TRÁFICO DESDE 1.2.3.4 HOST A HOST 5.6.7.8 PARA EL INTERVALO DE TIEMPO 8/30-31/2015
(addr.src en 1.2.3.4) y (addr.dst en 5.6.7.8) y (receive_time geq ' 2015/08/30 00:00:00 ') y
(leq receive_time ' 31/08/2015 23:59:59 ')
¡Gracias, Glenn, por compartir esto con nosotros!
Una buena práctica al perforar abajo en el registro de tráfico, cuando la búsqueda comienza con poco a ninguna información, es empezar desde menos específico y agregar filtros más específicos.
Cuando solución de problemas, en lugar de directamente de filtrado para una aplicación específica, tratan de filtrado para todas las aplicaciones excepto los que usted sabe que no necesita, por ejemplo '(app neq dns) y (neq aplicación ssh)'
Usted puede también lanzar en protocolos no necesita (proto udp de neq) o rangos de IP (addr.src notin 192.168.0.0/24)
Esta práctica le ayuda a perforar hasta el tráfico de interés sin perder un resumen buscando demasiado estrechamente desde el principio.
Espero que hayas disfrutado aprender acerca de los filtros. Sienta libre de comentar en la sección de abajo si tienes filtros desea compartir.
Filtro de bono:
Para buscar registros que tengan una captura de paquetes: (flags tiene pcap)
Hasta próxima vez--
Tom Piens