概要
ユーザー- ID が有効で、パロアルトネットワークスのログに firewall ユーザーが「不明」と表示される場合があります。
詳細
User-Agent は ID 、デフォルトで 45 分の「経過時間タイムアウト」の間、ユーザー マッピング情報をキャッシュします。 新しいユーザーがログオンすると、タイマーはリセットされます。
パロアルトネットワークは firewall ID 、設定のコミット時または再起動後にユーザエージェントに接続します。 ユーザー- firewall エージェントからグループとユーザーの両方の情報を取得 ID します。
IPまだ不明な (不明) アドレスからトラフィックを受信すると、UIDAgent はユーザー情報を照会し firewall 、UIDAgent のキャッシュされたエントリに残されたタイムアウトに等しい有効期間でエントリが作成されます。
以下は、パロアルトネットワークスに対してユーザが「不明」になる可能性があるシナリオの例です firewall 。
- A ユーザーが Time0 (T0) にログインすると、User-Agent ID はセキュリティ ログにログインを表示 AD し、ユーザー IP にマップします。 エントリがに送信 firewall され、UIDAgent と同じ有効期間 (MaxTimeout) のエントリも作成されます。
- 30分後(T0 + 30)、ユーザーはを介してデータを送信 firewall します。 ユーザーは識別されます。
- 14 分後 (T0 + 44)、ユーザーがより多くのデータを送信します。 ユーザーは、アクティブなマッピング。
- 2分後(T1 = T0 + 46)、エージェント上のマッピングが老化し、除去が firewall . マッピングは、 で削除されます firewall 。
- 58 分後 (T1 + 58)、ユーザーがより多くのデータを送信します。 上のキャッシュ firewall が期限切れになったため、 IP エージェントからマッピングを要求しますが、"不明" ユーザーを受け取ります
注: このユーザーは、次の時間まで "不明" のままになります。
- ユーザーがドメインにログオン
- 肯定的なセキュリティ監査ログは、UIDAgent によってピックアップします。
- WMI/netbios プローブはユーザーを正の方向に識別します
User-Agent のユーザー識別タイムアウト ID は現在 45 分に設定されており、ip-user-mapping は 45 分間キャッシュされます。 45 分後、マッピングがクリアされます。 その後、ip-user-mapping が同じに対して再度要求された場合 IP ID 、User-Agent は NetBIOS/ WMI プローブを使用して IP 、この構成が有効でネットワーク上でサポートされている場合に、アドレスでユーザーを判別しようとする可能性があります。
解像 度
ユーザーがドメインに再びログインすると、ユーザーマッピングが自動的に更新され、ユーザー名がパロアルトネットワークスログに表示されます firewall 。
WMIプローブが環境内で動作しているかどうかを確認するには、以下のコマンドを ID User-Agent デバイスからドメイン内の任意のデバイスに実行します。 WMI作業中は、ログオンしているユーザーの名前を返します。 WMIが機能していない場合は、エラーが返されます。 これは、User-Agent が ID プローブで使用するメカニズム WMI と同じです。
> wmic /node:<hostname> computersystem get username
Eg. :
> wmic /node:10.1.1.1 computersystem get username
username
example\testuser
here,
10.1.1.1 : IP being probed
example : Domain name of the user
testuser : username of the user with IP 10.1.1.1
の使用 WMI は、WindowsのバージョンとWindowsマシンのセットアップ方法によって異なります(システム設定、デバイスで有効/無効にするサービス、ホストベースの firewall 実行など)。
ユーザーが 「固定」のまま (ほとんどの日に同じ IP アドレスを使用) 場合、ユーザー識別タイムアウトは数時間または完全な稼働日に増やすことができます。
注:WMIプローブを使用しない場合は、ユーザー識別タイムアウトを 600 分 (または ユーザー エージェント) に増や firewall ID します。