Mise en route : exploitation forestière

Mise en route : exploitation forestière

90497
Created On 09/25/18 19:05 PM - Last Modified 06/12/23 19:34 PM


Resolution


J’ai déballé mon pare-feu, mais où sont les journaux ?

Nous sommes passés d'une configuration usine par défaut dès la sortie de la boîte à une configuration agréable avec une configuration complète sur un pare-feu entièrement à jour. Maintenant, l'unité a été de passage du trafic le long pendant un certain temps, nous allons donc jeter un oeil à ce que nous pouvons apprendre des journaux et quels rapports sont disponibles.

 

Check out J'ai déballé mon pare-feu, maintenant quoi?, J'ai déballé mon pare-feu et fait ce que vous m'avez dit, maintenant quoi? et J'ai déballé mon pare-feu et que vous souhaitez configurer VLAN-sous-interfaces si vous n'avez pas vu les acomptes précédents encore ou que vous voulez de jeter un autre regard sur l'endroit où nous avons laissé.

 

Une fois que le pare-feu a passé le trafic, vous devrez peut-être examiner les journaux de trafic pour vérifier quel type de trafic vos serveurs génèrent, ou les journaux de menace pour vérifier qu'aucune machine n'a été infectée et les attaques sont bloquées.

 

Si vous accédez à l'onglet moniteur et accédez aux journaux de trafic à partir du volet gauche, doivent you'lll voir les journaux sont ordonnés de manière ordonnée du plus récent au plus ancien, de haut en bas. Chaque entrée de journal a plusieurs valeurs dans différentes colonnes.

 

2015-11 -03 _22-01 -44. png

 

 

  • Le temps de réception indique quand le journal a été reçu dans le logdb, si une stratégie de sécurité est définie pour se connecter au début d'une session, cette heure correspond approximativement à la date de début de la session, lorsqu'une stratégie de sécurité est définie pour se connecter à la fin de la session , le temps de réception correspond à peu près à la fin de la session.
  • Type indique S'il s'agit d'un début de session ou d'un journal de fin de session.
  • De la zone et à la zone indiquent la manière dont le trafic est initié, du point de vue du paquet SYN.
  • Source et destination indiquent les adresses IP qui communiquent.
  • L'utilisateur source peut être renseigné si l'Identification de l'utilisateur est activée,nous allons le couvrir dans un acompte ultérieur.
  • Vers le port indique à quel port de destination est communiqué.
  • Application vous indique quelle application a été détectée par AppID.
  • L'Action montre si une session a été autorisée ou bloquée.
  • Règle indique quelle règle de sécurité détermine quelle action prendre lors du démarrage de la session.
  • La raison de fin de session indique pourquoi une session s'est terminée. Les raisons possibles peuvent être qu'un paquet RST a été reçu du serveur ou du client, que le délai d'attente TCP/UDP a été atteint, qu'un paquet fin a été reçu par le client ou le serveur, qu'une menace a été détectée ou qu'une stratégie de sécurité a refusé la connexion.
  • Byte indique le nombre d'octets transférés pendant la session, si le journal est du type'end'.

Ces colonnes sont simplement des valeurs par défaut et plusieurs autres peuvent être activées ou non pertinentes désactivées. Vous pouvez même déplacer les colonnes vers un autre emplacement ou utiliser l'option «ajuster les colonnes» pour redimensionner automatiquement les colonnes pour qu'elles s'adaptent à votre écran.

2015-11 -03 _22-05 -22. png

 

Pour faciliter la recherche dans les journaux, vous pouvez ajouter des filtres et/ou des opérations. Cliquez sur le signe plus à côté de la barre de recherche pour ajouter des filtres à partir d'une liste d'options disponibles, ou jetez un oeil à cet article, qui a une liste de filtres disponibles pour vous aider à affiner vos requêtes: notions de base du filtrage des moniteurs de trafic.

 

2015-11 -03 _22-42 -02. png

 

 

Vous pouvez également effectuer un zoom avant sur des détails supplémentaires en cliquant sur l'Icône détails à côté de chaque entrée de journal. Il est important de noter qu'une seule session peut créer plusieurs entrées de journal différentes. Les trois types de rondins principaux sur le dispositif de Palo Alto sont:

  • Journal de trafic, qui contient des informations de connectivité de base telles que les adresses IP, les ports et les applications.
  • Journal des menaces, qui contient toute information d'une menace, comme un virus ou un exploit, détectée dans une certaine session.
  • Journal des URL, qui contient les URL accessibles dans une session.

Ainsi, une seule session mon avoir plusieurs entrées de journal associé avec elle. La vue de détail du journal va corréler ces derniers pour votre confort:

 

2015-11 -03 _22-23 -23. png

 

Si nous ouvrons maintenant le journal des menaces à partir du volet gauche, nous verrons un ensemble légèrement différent de colonnes. Dans cette vue:

  • Type aura changé à ce type de menace est détectée.
  • ID est la désignation des réseaux de Palo Alto d'une certaine menace, des détails supplémentaires peuvent être trouvées dans les réseaux de Palo Alto ThreatVault.
  • L'attaquant et la victime montrent qui envoie la menace détectée: Notez que cela peut être dans la direction opposée du journal de trafic car un client peut initier une connexion sortante à un serveur Web et recevoir un fichier malveillant à partir de ce serveur, ce qui rend l'adresse de destination dans le journal de trafic de l'attaquant, ou la source, dans le journal des menaces.
  • Les mesures prises sur cette menace peuvent être un paquet de réinitialisation, une baisse silencieuse ou une action différente selon ce qui est le plus approprié ou ce qui est configuré dans le profil de sécurité.
  • La sévérité indique la dangerosité d'une certaine menace.

 

2015-11 -03 _22-49 -16. png

 

Si un profil de sécurité a été configuré pour effectuer une capture de paquets lorsque des menaces sont détectées, la capture de paquets peut être récupérée à l'Aide de la flèche de téléchargement située à côté du journal des menaces:

 

2015-11 -03 _23-11 -32. png

 

Si nous passons maintenant au Journal d'URL, nous verrons encore une autre vue qui fournit des détails supplémentaires pour n'importe quel trafic de navigation de Web et nous pouvons voir quelles URL et catégories ont été accédées par des utilisateurs.

 

2015-11 -03 _23-24 -51. png

 

Le journal des présentations Wildfire va fournir une liste des fichiers qui ont été téléchargés à Wildfire pour analyse, et par défaut, créer un fichier journal pour tous les fichiers trouvés à être malveillants.

 

2015-11 -03 _23-29 -05. png

 

Si vous souhaitez également recevoir des rapports sur des fichiers bénins, vous pouvez activer cette fonctionnalité à l'Aide de l'onglet Device, onglet WildFire sous Configuration du volet gauche.

 

2015-11 -03 _23-31 -44. png

 

La chose fraîche au sujet de Wildfire log est que le lien de détail vous emmène au rapport d'analyse complète, y compris un PDF téléchargeable, qui vous montre tous les détails sur le fichier et toutes les actions qu'il a prises lors de l'exécution dans le sandbox.

 

2015-11 -03 _23-29 -05. png

 

Pour un guide rapide pour mettre en place WildFire, S'il vous plaît jetez un oeil à cet article sur la façon de permettre à la version gratuite de Wildfire à «essayer avant d'acheter. Si vous n'avez pas encore acquis une licence Wildfire, vous verrez qu'il peut être un atout précieux pour votre arsenal.

 

Enfin, le journal de filtrage des données conserve le suivi de tout téléchargement de fichiers ou de téléchargements initiés sur une stratégie de sécurité qui contient un profil de blocage de fichier. Le journal indique également si le fichier a été autorisé ou bloqué.

 

2015-11 -03 _23-48 -13. png

 

Avoir tous ces journaux disponibles est grand, surtout en essayant de repérer un problème spécifique ou de regarder dans un incident isolé, mais avoir à regarder à travers les journaux pour obtenir un sentiment de ce qui se passe dans l'organisation peut ne pas être efficace. C'est pourquoi une grande variété de rapports prédéfinis sont disponibles à partir de la boîte et vous pouvez créer des rapports personnalisés adaptés à vos besoins.

 

Si vous faites défiler le volet gauche vers le bas, vous pouvez accéder aux rapports. De là, vous pouvez sélectionner un type de rapport dans le volet de droite (aller de l'avant et de naviguer à travers eux tous, ils ont tous des détails assez intéressant) et sélectionnez une date en bas.

 

Si vous souhaitez partager un rapport, utilisez les boutons en bas pour créer un fichier PDF, xls ou XML. S'il vous plaît garder à l'esprit les rapports prédéfinis représentent tous une journée complète et sont générés le lendemain vers 2H, donc «aujourd'hui» le rapport sera disponible demain matin. Les rapports personnalisés peuvent fournir des données pour une durée plus longue.

 

2015-11 -04 _00-03 -54. png

 

Si vous êtes intéressé à prendre un coup d'oeil à des rapports personnalisés, nous avons un tutoriel vidéo cool disponible.

 

J'espère que vous avez apprécié ce guidede mise en route-S'il vous plaît n'hésitez pas à laisser des commentaires ci-dessous.

 

Cordialement,

Tom Piens
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClUGCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language