Primeros pasos: iniciar sesión

Primeros pasos: iniciar sesión

90485
Created On 09/25/18 19:05 PM - Last Modified 06/12/23 19:34 PM


Resolution


Yo he descomprimido mi firewall, pero ¿dónde están los registros?

Hemos pasado de una configuración predeterminada de fábrica a la derecha de la caja a una configuración agradable con una configuración de cuerpo completo en un Firewall completamente actualizado. Ahora la unidad ha estado pasando el tráfico a lo largo de un tiempo, así que vamos a echar un vistazo a lo que podemos aprender de los registros y que los informes están disponibles.

 

Mira que he desempaquetado mi firewall, ¿ahora qué?, he desempaquetado mi Firewall e hice lo que me dijiste, ¿ahora qué? y he desempaquetado mi firewall y desea configurar VLANs-subinterfaces si usted no ha visto las cuotas anteriores todavía o desea para echar otro vistazo a donde lo dejamos.

 

Una vez que el Firewall ha estado pasando el tráfico, es posible que tenga que buscar en los registros de tráfico para comprobar qué tipo de tráfico están generando los servidores, o los registros de amenazas para comprobar que no hay máquinas infectadas y los ataques se están bloqueando.

 

Si navega a la ficha Monitor y accede a los registros de tráfico desde el panel izquierdo, you'lll ver los registros se ordenan ordenadamente de nuevo a más antiguo, de arriba a abajo. Cada entrada de registro tiene varios valores en diferentes columnas.

 

2015-11 -03 _22-01 -44. png

 

 

  • El tiempo de recepción indica cuándo se recibió el registro en el logdb, si una directiva de seguridad está establecida en log al inicio de una sesión, esta vez se corresponderá aproximadamente cuando se inicie la sesión, cuando se establezca una directiva de seguridad en log al final de la sesión , el tiempo de recepción corresponderá aproximadamente al momento en que finalice la sesión.
  • Type indica si se trata de un inicio de sesión o de fin del registro de sesión.
  • De la zona y de la zona indique la forma en que se inicia el tráfico desde la perspectiva del paquete SYN.
  • Origen y destino indican las direcciones IP que se están comunicando.
  • El usuario de origen se puede rellenar si se habilita la identificacióndel usuario: locubriremos en una instalación posterior.
  • A Port muestra a qué puerto de destino se está comunicando.
  • La aplicación muestra qué aplicación ha sido detectada por AppID.
  • La acción muestra si se ha permitido o bloqueado una sesión.
  • La regla muestra qué regla de seguridad determina qué acción tomar cuando se inicia la sesión.
  • La razón final de la sesión indica por qué una sesión terminó. Las posibles razones pueden ser que un paquete RST fue recibido del servidor o cliente, el tiempo de espera TCP/UDP fue alcanzado, un paquete fin fue recibido por el cliente o el servidor, una amenaza fue detectada, o una política de seguridad denegó la conexión.
  • Byte indica el número de bytes transferidos durante la sesión, si el registro es del tipo ' End '.

Estas columnas son meramente predeterminadas y varias más pueden ser activadas o irrelevantes desactivadas. Incluso puede mover las columnas a una ubicación diferente o utilizar la opción ' ajustar columnas ' para cambiar el tamaño automáticamente de las columnas para que se adapten a la pantalla.

2015-11 -03 _22-05 -22. png

 

Para permitir una búsqueda más fácil a través de logs, puede Agregar filtros como y/o operaciones. Haga clic en el signo más junto a la barra de búsqueda para agregar filtros de una lista de opciones disponibles, o eche un vistazo a este artículo, que tiene una lista de filtros disponibles para ayudarle a afinar sus consultas: fundamentos del filtrado de monitor de tráfico.

 

2015-11 -03 _22-42 -02. png

 

 

También puede acercarse a detalles adicionales haciendo clic en el icono de detalles junto a cada entrada de registro. Es importante tener en cuenta que una sola sesión puede crear varias entradas de registro diferentes. Los tres tipos de registro principales en el dispositivo palo alto son:

  • Registro de tráfico, que contiene información básica de conectividad como direcciones IP, puertos y aplicaciones.
  • Registro de amenazas, que contiene cualquier información de una amenaza, como un virus o un exploit, detectado en una sesión determinada.
  • Log de URL, que contiene URLs a las que se accede en una sesión.

Así que una sola sesión mi tiene varias entradas de registro asociadas con él. La vista de detalle de registro los correlacionará para su conveniencia:

 

2015-11 -03 _22-23 -23. png

 

Si ahora abrimos el registro de amenazas desde el panel izquierdo, veremos un conjunto de columnas ligeramente diferente. En esta vista:

  • Tipo habrá cambiado a qué tipo de amenaza se detecta.
  • ID es la denominación de Palo Alto Networks de una determinada amenaza, se pueden encontrar detalles adicionales en el Palo Alto Networks ThreatVault.
  • Atacante y víctima muestran quién envía la amenaza detectada: tenga en cuenta que esto puede estar en la dirección opuesta del registro de tráfico como un cliente puede iniciar una conexión de salida a un servidor Web y recibir un archivo malicioso de ese servidor, haciendo la dirección de destino en el registro de tráfico del atacante, o fuente, en el registro de amenazas.
  • Las acciones tomadas en esta amenaza podrían ser un paquete de restablecimiento, una caída silenciosa o una acción diferente dependiendo de lo que sea más apropiado o lo que esté configurado en el perfil de seguridad.
  • La severidad indica lo peligrosa que es una cierta amenaza.

 

2015-11 -03 _22-49 -16. png

 

Si se ha configurado un perfil de seguridad para realizar una captura de paquetes cuando se detectan amenazas, la captura de paquetes se puede recuperar utilizando la flecha de descarga situada junto al registro de amenazas:

 

2015-11 -03 _23-11 -32. png

 

Si ahora pasamos al log de URL, veremos otra vista que proporciona detalles adicionales para cualquier tráfico de navegación web y podemos ver qué URLs y categorías han sido accesadas por los usuarios.

 

2015-11 -03 _23-24 -51. png

 

El registro de envíos de Wildfire va a proporcionar una lista de archivos que fueron subidos a Wildfire para su análisis, y de forma predeterminada, crear un archivo de registro para los archivos encontrados para ser maliciosos.

 

2015-11 -03 _23-29 -05. png

 

Si también desea recibir informes sobre archivos benignos, puede activar esta función a través de la ficha dispositivo, la ficha Wildfire en Setup del panel izquierdo.

 

2015-11 -03 _23-31 -44. png

 

Lo bueno de Wildfire log es que el enlace de detalle le lleva al informe de análisis completo, incluyendo un PDF descargable, que le muestra todos los detalles sobre el archivo y cualquier acción que tomó al ejecutarse en el Sandbox.

 

2015-11 -03 _23-29 -05. png

 

Para una guía rápida para instalar incendios forestales, por favor eche un vistazo a este artículo sobre cómo habilitar la versión gratuita de Wildfire para "probar antes de comprar". Si usted todavía no ha adquirido una licencia de WildFire, verá que puede ser un valioso activo para su arsenal.

 

Por último, el registro de filtrado de datos realiza un seguimiento de las cargas o descargas de archivos iniciadas en una directiva de seguridad que contiene un perfil de bloqueo de archivos. El registro también indica si el archivo se ha permitido o bloqueado.

 

2015-11 -03 _23-48 -13. png

 

Tener todos estos registros disponibles es genial, especialmente cuando se trata de identificar un problema específico o de mirar en un incidente aislado, pero tener que mirar a través de los registros para obtener una sensación de lo que está sucediendo en la organización puede no ser eficiente. Esta es la razón por la que una amplia variedad de informes predefinidos están disponibles fuera de la caja y usted puede crear informes personalizados adaptados a sus necesidades.

 

Si se desplaza por el panel izquierdo hasta la parte inferior, puede acceder a los informes. Desde allí se puede seleccionar un tipo de informe desde el panel derecho (seguir adelante y navegar a través de todos ellos, todos ellos tienen detalles muy interesantes) y seleccionar una fecha en la parte inferior.

 

Si desea compartir un informe, utilice los botones de la parte inferior para crear un PDF, XLS o XML. Por favor, tenga en cuenta que los informes predefinidos representan un día completo y se generan al día siguiente alrededor de las 2:00 a.m., por lo que el informe de hoy estará disponible mañana por la mañana. Los informes personalizados pueden proporcionar datos durante un lapso de tiempo más largo.

 

2015-11 -04 _00-03 -54. png

 

Si usted está interesado en dar un vistazo a Custom Reports, tenemos un video tutorial fresco disponible.

 

Espero que haya disfrutado de estaGuíade introducción — por favor siéntase libre de dejar comentarios abajo.

 

Saludos,

Tom Piens
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClUGCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language