Usuario desconocido para temporizadores de ID IP- caché de mapeo de usuarios y usuarios

Visión general

El usuario ID está habilitado y los registros en las redes de Palo Alto a veces muestran a los usuarios como firewall "desconocidos".

Detalles

El Agente de usuario ID almacena en caché la información de asignación de usuarios durante la duración del "Tiempo de espera de salida de edad" que tiene como valor predeterminado 45 minutos. Cuando un usuario nuevo inicie sesión, entonces el temporizador se restablece.

Palo Alto Networks firewall se conecta al User- Agent en la ID confirmación de configuración o después de un reinicio. Recupera firewall información de grupo y usuario del Agente de ID usuario.

Cuando se recibe tráfico de una IP dirección que aún no se conoce (desconocida) se consulta al UIDAgent para obtener información del usuario y se crea una entrada en el con una duración igual al tiempo de espera dejado en la entrada almacenada en caché del firewall UIDAgent

A continuación se muestra un ejemplo de un escenario en el que un usuario puede convertirse en "desconocido" para las redes de Palo firewall Alto:

• A el usuario inicia sesión en Time0 (T0), el User- ID Agent ve el inicio de sesión en el registro de seguridad y asigna el al AD IP usuario. La entrada se envía a la firewall y también crea una entrada con la misma duración (MaxTimeout) que el UIDAgent
• 30 minutos más tarde (T0 + 30), el usuario envía datos a través del firewall archivo . Todavía se identifica el usuario.
• 14 minutos más tarde (T0 + 44), el usuario envía más datos. El usuario todavía tiene una asignación de activa.
• 2 minutos más tarde (T1 = T0 + 46), la asignación en el agente envejece y la eliminación se comunica al firewall archivo . La asignación se elimina en el firewall archivo .
• 58 minutos más adelante (T1 + 58), el usuario envía más datos. La memoria caché en el firewall fue caducado, por lo que solicita una IP asignación del agente, pero recibe el usuario "Desconocido"

Nota: Este usuario permanecerá "Desconocido" hasta que:

• • el usuario inicia una sesión en el dominio
  • un log de auditoría de seguridad positiva es recogido por el UIDAgent
  • una sonda wmi/netbios identifica positivamente al usuario

El tiempo de espera de identificación del usuario en el agente de usuario ID se fija actualmente a 45 minutos, lo que significa que la asignación ip-usuario se almacena en caché durante 45 minutos. Después de 45 minutos, se elimina la asignación. Posteriormente, si se solicita de nuevo la asignación ip-user para el mismo IP , el Agente de usuario puede intentar utilizar ID WMI netbios/ sondeos para determinar al usuario en la IP dirección, si esta configuración está habilitada y soportada en la red.

Resolución

Cuando el usuario vuelva a iniciar sesión en el dominio, la asignación de usuarios se actualizará automáticamente y el nombre de usuario aparecerá en los registros de Palo Alto firewall Networks.

Para comprobar si WMI el sondeo funciona en el entorno, ejecute el siguiente comando desde el dispositivo user-agent a cualquier dispositivo del ID dominio. Si WMI funciona, devolverá el nombre del usuario que ha iniciado sesión. Si el WMI no funciona, se devolverá un error. Este es el mismo mecanismo utilizado por el Agente de usuario en el ID WMI sondeo.

> wmic /node:<hostname> computersystem get username

Eg. :

> wmic /node:10.1.1.1 computersystem get username
username
example\testuser


here,
10.1.1.1 : IP being probed
example  : Domain name of the user
testuser : username of the user with IP 10.1.1.1

El uso depende de las versiones de WMI Windows y de la forma en que se configuran los equipos Windows (cuál es la configuración del sistema, qué servicios están habilitados o deshabilitados en el dispositivo, hay una ejecución basada en firewall host, etc.).

Si los usuarios permanecen 'estacionarios' (utilizando la misma IP dirección la mayor parte del día), el tiempo de espera de identificación del usuario también se puede aumentar a varias horas o incluso una jornada laboral completa

Nota: Si WMI no se utiliza el sondeo, aumente el tiempo de espera de identificación del usuario a 600 minutos (ya sea en el agente de usuario o en el agente firewall de ID usuario)