Utilisateur inconnu pour les timers de cache ID IP- de cartographie utilisateur-utilisateur
Environment
- PAN-OS 7,1 et plus.
- Palo Alto Firewall .
- Configuration ID utilisateur
Resolution
Aperçu
IDL’utilisateur est activé et les journaux sur les réseaux de Palo Alto affichent parfois les utilisateurs comme firewall « inconnus ».
Détails
L’utilisateur-agent ID cache les informations de cartographie utilisateur pour la durée de l'«délai d’attente d’âge » qui par défaut à 45 minutes. Lorsqu’un utilisateur se connecte, la minuterie se réinitialise.
Les réseaux Palo Alto se firewall connectent à l’utilisateur-agent ID lors de la validation de configuration ou après un redémarrage. Le firewall récupère les informations du Groupe et de l’Utilisateur auprès de l’Utilisateur-Agent. ID
Lorsque le trafic est reçu à partir IP d’une adresse qui n’est pas encore connue (inconnue), l’UIDAgent est interrogé pour obtenir des informations sur l’utilisateur et une entrée est créée sur la durée de vie égale au firewall délai d’attente laissé sur l’entrée mise en cache de l’UIDAgent
Ce qui suit est un exemple d’un scénario où un utilisateur peut devenir « inconnu » pour les réseaux de Palo Alto firewall :
- A l’utilisateur se connecte à Time0 (T0), ID l’utilisateur-agent voit la connexion dans le AD journal de sécurité et cartographie IP l’utilisateur. L’entrée est envoyée à firewall l’et il crée également une entrée avec la même durée de vie (MaxTimeout) que l’UIDAgent
- 30 minutes plus tard (T0 + 30), l’utilisateur envoie des données à travers le firewall . L’utilisateur est toujours identifié.
- 14 minutes plus tard (T0 + 44), l’utilisateur envoie plus de données. L’utilisateur a toujours un mappage actif.
- 2 minutes plus tard (T1 = T0 + 46), la cartographie sur l’agent vieillit, et la suppression est communiquée à la firewall . La cartographie est supprimée sur le firewall .
- 58 minutes plus tard (T1 + 58), l’utilisateur envoie plus de données. Le cache sur le firewall a expiré, de sorte qu’il demande une IP cartographie de l’agent, mais reçoit « Inconnu » utilisateur
Note: Cet utilisateur restera « Inconnu » jusqu’à ce que :
- l’utilisateur ouvre une session dans le domaine
- un journal d’audit de sécurité positive est capté par le UIDAgent
- une sonde wmi/netbios identifie positivement l’utilisateur
Le délai d’identification de l’utilisateur sur ID l’utilisateur-agent est actuellement défini à 45 minutes, ce qui signifie que la cartographie ip-utilisateur est mise en cache pendant 45 minutes. Après 45 minutes, le mappage est désactivé. Par la suite, si la cartographie ip-utilisateur est demandée à nouveau pour la même IP , ID l’utilisateur-agent peut tenter d’utiliser NetBIOS / WMI sondes pour déterminer l’utilisateur à IP l’adresse, si cette configuration est activée et prise en charge sur le réseau.
Résolution
Lorsque l’utilisateur se connecte de nouveau dans le domaine, la cartographie utilisateur se met à jour automatiquement et le nom d’utilisateur apparaît dans les journaux Palo Alto firewall Networks.
Pour vérifier si WMI l’enquête fonctionne dans l’environnement, exécutez la commande ci-dessous depuis l’appareil ID User-Agent jusqu’à n’importe quel périphérique du domaine. Si WMI cela fonctionne, il retournera le nom de l’utilisateur connecté. Si le WMI ne fonctionne pas, une erreur sera retournée. Il s’agit du même mécanisme utilisé par l’utilisateur-agent ID pour WMI sonder.
> wmic /node:<hostname> computersystem get username
Eg. :
> wmic /node:10.1.1.1 computersystem get username
username
example\testuser
here,
10.1.1.1 : IP being probed
example : Domain name of the user
testuser : username of the user with IP 10.1.1.1
L’utilisation dépend WMI des versions Windows et de la façon dont les machines Windows sont configurées (quels sont les paramètres du système, quels services sont activés/désactivés sur l’appareil, y a-t-il un fonctionnement basé sur firewall l’hôte et ainsi de suite).
Si les utilisateurs restent « stationnaires » (en utilisant la même adresse la majeure partie de la journée), le IP délai d’identification de l’utilisateur peut également être porté à plusieurs heures ou même à une journée de travail complète.
Note: Si WMI l’enquête n’est pas utilisée, augmentez le délai d’identification de l’utilisateur à 600 minutes (que ce soit sur l’agent firewall utilisateur ou sur ID l’agent utilisateur)