Erste Schritte: Anmeldung

Erste Schritte: Anmeldung

90491
Created On 09/25/18 19:05 PM - Last Modified 06/12/23 19:34 PM


Resolution


Ich habe meine Firewall ausgepackt, aber wo sind die Protokolle?

Wir sind von einer Werks Standard-Konfiguration direkt aus der Box zu einem schönen Setup mit einer vollmundigen Konfiguration auf einer vollständig aktuellen Firewall übergegangen. Jetzt hat die Einheit den Verkehr für eine Weile weitergereicht, also werden wir einen Blick auf das werfen, was wir aus den Protokollen lernen können und welche Berichte verfügbar sind.

 

Schauen Sie sich an , ich habe meine Firewall ausgepackt, was nun?, Ich habe meine Firewall ausgepackt und das getan, was Sie mir gesagt haben, was nun? und Ich habe meine Firewall ausgepackt und möchte VLANs —-subschnittstellen konfigurieren, Wenn Sie die vorherigen Raten noch nicht gesehen haben oder wollen um noch einmal zu schauen, wo wir aufgehört haben.

 

Sobald die Firewall den Verkehr passiert hat, müssen Sie sich möglicherweise in Verkehrsprotokolle umschauen, um zu überprüfen, welche Art von Traffic Ihre Server erzeugen, oder die Bedrohungs Protokolle, um zu überprüfen, ob keine Maschinen infiziert wurden und Angriffe blockiert werden.

 

Wenn Sie zum Monitor-Tab navigieren und auf die Verkehrsprotokolle von der linken Seite zugreifen, sehen Sie, dass die Protokolle sauber von der neuesten bis zur ältesten, von oben nach unten bestellt werden. Jeder Log-Eintrag hat mehrere Werte in verschiedenen Spalten.

 

2015-11 -03 _22-01 -44. png

 

 

  • Wenn das Protokoll in der logdb empfangen wurde, wird die Zeit angegeben, wenn eine Sicherheitsrichtlinie zu Beginn einer Sitzung protokolliert wird, wird diese Zeit in etwa dem Zeitpunkt entsprechen, an dem die Sitzung begonnen hat, wenn eine Sicherheitsrichtlinie am Ende der Sitzung protokolliert wird. , wird die Empfangszeit ungefähr der Zeit entsprechen, in der die Sitzung endete.
  • Typ gibt an, ob es sich um einen Beginn der Sitzung oder um ein Ende des Sitzungsprotokolls handelt.
  • Von Zone zu Zone zeigen an, auf welche Weise der Verkehr eingeleitet wird, aus der Perspektive des SYN-Pakets.
  • Quelle und Reiseziel geben die kommunikativen IP-Adressen an.
  • Der Quell Benutzer kann bevölkert werden, wenn die BenutzerIdentifikation aktiviert istwir werden dies in einer späteren Tranche abdecken.
  • To Port zeigt an, an welchen Zielport kommuniziert wird.
  • Die Anwendung zeigt Ihnen, welche Anwendung von AppID erkannt wurde.
  • Action zeigt, ob eine Session erlaubt oder gesperrt wurde.
  • Die Regel zeigt an, welche Sicherheitsregel bestimmt, welche Maßnahmen zu ergreifen sind, wenn die Sitzung beginnt.
  • Session-End-Grund zeigt an, warum eine Session endete. Mögliche Gründe können sein, dass ein RST-Paket von Server oder Client empfangen wurde, die TCP/UDP-Timeout-Zeit erreicht wurde, ein FIN-Paket vom Client oder Server empfangen wurde, eine Drohung erkannt wurde oder eine Sicherheitsrichtlinie die Verbindung verweigerte.
  • Byte gibt an, wie viele Bytes während der Sitzung übertragen wurden, wenn das Protokoll vom Typ "Ende" ist.

Diese Spalten sind lediglich Standardwerte, und mehrere weitere können aktiviert oder irrelevant deaktiviert werden. Sie können die Spalten sogar an einen anderen Ort verschieben oder die Option "Spalten anpassen" verwenden, um die Spalten automatisch zu verkleinern, um Ihren Bildschirm zu montieren.

2015-11 -03 _22-05 -22. png

 

Um eine einfachere Suche durch Protokolle zu ermöglichen, können Sie Filter als und/oder Operationen hinzufügen. Klicken Sie auf das Plus-Zeichen neben der Suchleiste, um Filter aus einer Liste der verfügbaren Optionen hinzuzufügen, oder werfen Sie einen Blick auf diesen Artikel, der eine Liste der verfügbaren Filter hat, um Ihnen zu helfen, Ihre Fragen zu verfeinern: Grundlagen der Verkehrs Monitor Filterung.

 

2015-11 -03 _22-42 -02. png

 

 

Sie können auch auf weitere Details Zoomen, indem Sie auf das Detail-Symbol neben jedem Log-Eintrag klicken. Es ist wichtig zu beachten, dass eine einzelne Sitzung mehrere verschiedene Log-Einträge erstellen kann. Die drei wichtigsten Log-Typen auf dem Palo Alto-Gerät sind:

  • Traffic Log, das grundlegende Konnektivitätsinformationen wie IP-Adressen, Ports und Anwendungen enthält.
  • Bedrohungs Protokoll, das alle Informationen einer Bedrohung enthält, wie ein Virus oder eine Ausnutzung, die in einer bestimmten Sitzung entdeckt wurden.
  • URL-Log, das URLs enthält, auf die in einer Sitzung zugegriffen wird.

So eine einzelne Session habe ich mehrere Log-Einträge damit verbunden. Die Log-Detailansicht wird diese für Ihre Bequemlichkeit korrelieren:

 

2015-11 -03 _22-23 -23. png

 

Wenn wir jetzt das Bedrohungs Protokoll aus dem linken Fenster öffnen, werden wir eine etwas andere Spalte sehen. In dieser Ansicht:

  • Typ wird sich geändert haben, welche Art von Bedrohung erkannt wird.
  • ID ist die Palo Alto Networks Bezeichnung einer bestimmten Bedrohung, weitere Details finden Sie in der Palo Alto Networks-Bedrohung.
  • Angreifer und Opfer zeigen, wer die erkannte Bedrohung sendet: Beachten Sie, dass dies in der entgegengesetzten Richtung des Verkehrsprotokolls sein kann, da ein Client eine ausgehende Verbindung zu einem Webserver einleiten kann und eine Schaddatei von diesem Server erhält, wodurch die Zieladresse in der Traffic protokolliert den Angreifer oder die Quelle im Bedrohungs Protokoll.
  • Maßnahmen, die zu dieser Bedrohung ergriffen werden, könnten ein Reset-Paket, ein stiller Tropfen oder eine andere Aktion sein, je nachdem, was am geeignetsten ist oder was im Sicherheitsprofil konfiguriert ist.
  • Die schwere zeigt an, wie gefährlich eine gewisse Bedrohung ist.

 

2015-11 -03 _22-49 -16. png

 

Wenn ein Sicherheitsprofil so konfiguriert wurde, dass eine Paket Aufnahme durchgeführt wird, wenn Bedrohungen erkannt werden, kann die Paket Aufnahme mit dem Download-Pfeil neben dem Bedrohungs Protokoll abgerufen werden:

 

2015-11 -03 _23-11 -32. png

 

Wenn wir nun zum URL-Log übergehen, werden wir noch eine weitere Ansicht sehen, die zusätzliche Details für jeden Web-Browsing-Traffic bietet, und wir können sehen, welche URLs und Kategorien von Benutzern aufgerufen wurden.

 

2015-11 -03 _23-24 -51. png

 

Das WildFire-Einreichungs Protokoll wird eine Liste von Dateien zur Verfügung stellen, die zur Analyse an WildFire hochgeladen wurden, und standardmäßig eine Log-Datei für alle Dateien erstellen, die als bösartig erachtet werden.

 

2015-11 -03 _23-29 -05. png

 

Wenn Sie auch Berichte über gutartige Dateien erhalten möchten, können Sie diese Funktion über die Registerkarte Gerät, WildFire Tab unter Setup aus dem linken Fenster aktivieren.

 

2015-11 -03 _23-31 -44. png

 

Das coole an WildFire Log ist, dass der Detail-Link Sie zum vollständigen Analysebericht bringt, einschließlich eines herunterladbaren PDF, das Ihnen alle Details über die Datei und alle Aktionen zeigt, die Sie bei der Ausführung im Sandkasten durchführte.

 

2015-11 -03 _23-29 -05. png

 

Für eine kurze Anleitung, um WildFire einzurichten, werfen Sie bitte einen Blick auf diesen Artikel, wie Sie die kostenlose Version von Wildfire aktivieren können, um "vor dem Kauf zu versuchen". Wenn Sie noch keine WildFire-Lizenz erworben haben, werden Sie sehen, dass es ein wertvolles gut für ihr Arsenal sein kann.

 

Schließlich verfolgt das Daten Filter Protokoll alle Datei-Uploads oder Downloads, die auf einer Sicherheitsrichtlinie initiiert wurden, die ein Datei Sperr Profil enthält. Das Protokoll zeigt auch an, ob die Datei erlaubt oder gesperrt wurde.

 

2015-11 -03 _23-48 -13. png

 

All diese Protokolle zur Verfügung zu haben, ist großartig, vor allem, wenn man versucht, ein bestimmtes Problem zu lokalisieren oder in einen isolierten Vorfall zu schauen, aber durch Protokolle zu suchen, um ein Gefühl dafür zu bekommen, was in der Organisation passiert, kann nicht effizient sein. Aus diesem Grund sind eine Vielzahl von vordefinierten Berichten aus der Box verfügbar und Sie können individuelle Berichte erstellen, die auf Ihre Bedürfnisse zugeschnitten sind.

 

Wenn Sie die linke Scheibe nach unten scrollen, können Sie auf die Berichte zugreifen. Von dort aus können Sie einen Report-Typ aus dem rechten Fenster auswählen (gehen Sie vor und navigieren Sie durch Sie alle, Sie haben alle ziemlich interessante Details) und wählen Sie ein Datum am unteren Rand.

 

Wenn Sie einen Bericht teilen möchten, verwenden Sie die Buttons unten, um ein PDF, XLS oder XML zu erstellen. Bitte beachten Sie, dass die vordefinierten Berichte alle einen ganzen Tag darstellen und am nächsten Tag um 2 Uhr morgens generiert werden, so dass der Bericht "heute" morgen früh verfügbar sein wird. KundenSpezifische Berichte können Daten für eine längere Zeitspanne liefern.

 

2015-11 -04 _00-03 -54. png

 

Wenn Sie Interesse haben, einen Blick auf kundenspezifische Berichte zu nehmen, haben wir ein cooles Video-Tutorial zur Verfügung.

 

Ich hoffe, Sie haben diesen Getting Started Guide. Bitte lassen Sie sich gerne die Kommentare unten.

 

Viele Grüße,

Tom Piens
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClUGCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language