概述
启用了用户 ID 功能,帕洛阿尔托网络上的日志 firewall 有时会显示用户为"未知"。
细节
用户 ID 代理在默认为 45 分钟的"超时"期间缓存用户映射信息。 当新的用户登录时,然后重置计时器。
Palo Alto 网络在 firewall ID 配置提交或重新启动后连接到用户代理。 从 firewall 用户代理检索组和用户信息 ID 。
当从 IP 未知(未知)的地址接收流量时,UIDAgent 会查询用户信息,并在该地址上创建 firewall 一个条目,其使用寿命等于 UIDAgent 缓存条目上剩余的超时
以下是用户可能成为帕洛阿尔托网络"未知"情景的示例 firewall :
- A 用户在 Time0 (T0) 登录时,用户 ID 代理会看到 AD 安全日志中的登录,并将地图 IP 映射到用户。 条目被发送到 firewall ,它也创建一个条目具有相同的寿命(最大超时)作为UID代理
- 30分钟后(T0+30),用户通过 firewall 。 用户仍然标识。
- 14 分钟后 (T0 + 44),用户发送更多的数据。 用户仍然可以激活的映射。
- 2分钟后(T1=T0+46),代理上的映射老化,并将删除传达给 firewall 。 映射在 firewall 。
- 58 分钟以后 (T1 + 58),用户发送更多的数据。 缓存 firewall 已过期,因此它请求 IP 代理进行映射,但接收"未知"用户
注: 此用户将保持"未知",直到 :
- 用户登录到域
- UIDAgent 拾起一个积极的安全审核日志
- wmi/netbios 探头正识别用户
用户代理上的用户识别超时 ID 当前设置为 45 分钟,这意味着 IP 用户映射缓存 45 分钟。 45 分钟后,映射将被清除。 随后,如果再次请求 IP 用户映射, IP ID 则用户代理可能会尝试使用 NetBIOS/ WMI 探头来确定地址中的用户 IP ,如果此配置已启用并在网络上得到支持。
分辨率
当用户重新登录域时,用户映射将自动更新,用户名将显示在 Palo Alto 网络 firewall 日志中。
要验证 WMI 探测是否在环境中工作,请将下面的命令从用户 ID 代理设备运行到域中的任何设备。 如果 WMI 正常工作,它将返回登录的用户的名称。 如果 WMI 不起作用,将返回错误。 这是用户 ID 代理在探测中使用的相同机制 WMI 。
> wmic /node:<hostname> computersystem get username
Eg. :
> wmic /node:10.1.1.1 computersystem get username
username
example\testuser
here,
10.1.1.1 : IP being probed
example : Domain name of the user
testuser : username of the user with IP 10.1.1.1
其使用 WMI 取决于 Windows 版本和 Windows 计算机的设置方式(什么是系统设置、设备上启用/禁用哪些服务、是否有基于主机的 firewall 运行等)。
如果用户保持"静止"( IP 每天大部分时间使用同一地址),用户身份识别超时也可以增加到几个小时,甚至全个工作日
注意: 如果不 WMI 使用探查,则将 用户识别超时 增加到 600 分钟(无论是在 firewall 用户代理上还是在用户 ID 代理上)