Unbekannter Benutzer für ID IP- Benutzer-Benutzer-Mapping-Cache-Timer

Übersicht

Benutzer- ID ist aktiviert und die Protokolle in den Palo Alto-Netzwerken zeigen Benutzer manchmal als firewall "Unbekannt".

Details

Der ID User-Agent speichert Benutzerzuordnungsinformationen für die Dauer des "Age-Out Timeouts" zwischen, das standardmäßig 45 Minuten beträgt. Wenn ein neuer Benutzer anmeldet, wird dann der Timer zurückgesetzt.

Das Palo Alto Networks firewall stellt eine Verbindung zum User-Agent nach ID Konfigurations-Commit oder nach einem Neustart her. Der firewall ruft sowohl Gruppen- als auch Benutzerinformationen vom User-Agent ID ab.

Wenn Datenverkehr von einer IP noch nicht bekannten (unbekannten) Adresse empfangen wird, wird der UIDAgent nach Benutzerinformationen abgefragt, und es wird ein Eintrag mit einer Lebensdauer erstellt, die dem firewall Timeout entspricht, das im zwischengespeicherten Eintrag des UIDAgents verbleibt.

Im Folgenden finden Sie ein Beispiel für ein Szenario, in dem ein Benutzer für die Palo Alto-Netzwerke "Unbekannt" werden firewall kann:

• A Benutzer meldet sich bei Time0 (T0) an, der ID User-Agent sieht die Anmeldung im AD Sicherheitsprotokoll und ordnet sie dem IP Benutzer zu. Der Eintrag wird an die gesendet firewall und erstellt auch einen Eintrag mit der gleichen Lebensdauer (MaxTimeout) wie der UIDAgent
• 30 Minuten später (T0 + 30) sendet der Benutzer Daten über die firewall . Benutzer wird noch identifiziert.
• 14 Minuten später (T0 + 44), der Benutzer mehr Daten sendet. Der Benutzer hat noch eine aktive Zuordnung.
• 2 Minuten später (T1 = T0 + 46) altert die Zuordnung auf dem Agenten aus, und die Entfernung wird dem firewall mitgeteilt. Die Zuordnung wird auf der firewall gelöscht.
• 58 Minuten später (T1 + 58), der Benutzer mehr Daten sendet. Der Cache auf der war abgelaufen, daher fordert er eine Zuordnung vom Agenten an, firewall IP empfängt jedoch den "Unbekannten"-Benutzer.

Hinweis: Dieser Benutzer bleibt "Unbekannt" bis :

• • der Anmeldung des Benutzers in der Domäne
  • eine positive Security-Audit-Log wird von der UIDAgent abgeholt
  • eine wmi/netbios-Sonde identifiziert den Benutzer positiv

Das Benutzeridentifikationstimeout auf dem ID User-Agent ist derzeit auf 45 Minuten festgelegt, was bedeutet, dass die ip-user-Zuordnung für 45 Minuten zwischengespeichert wird. Nach 45 Minuten wird die Zuordnung gelöscht. Wenn die ip-user-mapping daraufhin erneut für dasselbe angefordert IP wird, kann der User-Agent ID versuchen, NetBIOS/-Prüfpunkte zu verwenden, WMI um den Benutzer an der Adresse zu IP ermitteln, wenn diese Konfiguration im Netzwerk aktiviert und unterstützt wird.

entschluß

Wenn sich der Benutzer wieder bei der Domäne anmeldet, wird die Benutzerzuordnung automatisch aktualisiert, und der Benutzername wird in den Palo Alto firewall Networks-Protokollen angezeigt.

Um zu überprüfen, ob WMI die Suche in der Umgebung funktioniert, führen Sie den folgenden Befehl vom Benutzer-Agent-Gerät auf ein ID beliebiges Gerät in der Domäne aus. Wenn WMI dies funktioniert, wird der Name des angemeldeten Benutzers zurückgegeben. Wenn der WMI nicht funktioniert, wird ein Fehler zurückgegeben. Dies ist der gleiche Mechanismus, der vom User-Agent bei der Sondierung verwendet ID WMI wird.

> wmic /node:<hostname> computersystem get username

Eg. :

> wmic /node:10.1.1.1 computersystem get username
username
example\testuser


here,
10.1.1.1 : IP being probed
example  : Domain name of the user
testuser : username of the user with IP 10.1.1.1

Die Verwendung WMI von ist abhängig von den Windows-Versionen und der Art und Weise, wie die Windows-Computer eingerichtet sind (was sind die Systemeinstellungen, welche Dienste auf dem Gerät aktiviert/deaktiviert sind, gibt es eine Host-basierte firewall Ausführung usw.).

Wenn Benutzer "stationär" bleiben (mit der gleichen IP Adresse den größten Teil des Tages), kann das Benutzeridentifikationstimeout auch auf mehrere Stunden oder sogar einen vollen Arbeitstag erhöht werden.

Hinweis: Wenn WMI keine Sondierung verwendet wird, erhöhen Sie das Zeitout für die Benutzeridentifikation auf 600 Minuten (entweder auf dem firewall oder dem ID Benutzer-Agent).