Wie kann man überprüfen, welche entschlüsselten Sessions gespiegelt werden

PANOS 6,0 und bis

Lesen Sie das Dokument https://Live.paloaltonetworks.com/docs/doc-6212 für die Konfiguration von entschlüsselt Spiegel-Port auf Palo Alto Networks Firewalls.

Wenn eine Session für das Spiegeln markiert ist, fügt die Firewall ihr die Spiegel Fahne hinzu, so dass alle Daten, die Folgen, an die dedizierte Schnittstelle gesendet werden müssen. Da die Fahne der Session hinzugefügt wird, ist es sehr einfach, nach den Sessions zu suchen, die sowohl in der Sitzungstabelle als auch in den Protokollen weitergeleitet werden.

Um zu überprüfen, welche aktiven Sitzungen an den Spiegel-Port weitergeleitet werden, verwenden Sie diesen CLI-Befehl:

admin @ PA-5050-ha-primär > Show Session alle Filter entschlüsselt-Spiegel ja

--------------------------------------------------------------------------------

ID Anwendung State Art Flagge Src [Sport] / Zone/Proto (übersetzte IP[Port])

VSys Dst [Dport] / Zone (übersetzt von IP[Port])

--------------------------------------------------------------------------------

33557825 Web-Browsing Active Flow * NS 10.193.91.111 [55572]/Untrust/6 (10.193.88.91 [47276])

vsys1 74.125.71.139 [443]/Untrust (74.125.71.139 [443])

33557818 Web-Browsing Active Flow * NS 10.193.91.111 [55564]/Untrust/6 (10.193.88.91 [2860])

vsys1 216.58.209.230 [443]/Untrust (216.58.209.230 [443])

33557822 Web-Browsing Active Flow * NS 10.193.91.111 [55567]/Untrust/6 (10.193.88.91 [7089])

vsys1 173.194.78.100 [443]/Untrust (173.194.78.100 [443])

33557829 YouTube-Base Active Flow * NS 10.193.91.111 [55576]/Untrust/6 (10.193.88.91 [31508])

vsys1 74.125.105.16 [443]/Untrust (74.125.105.16 [443])

33557814 YouTube-Base Active Flow * NS 10.193.91.111 [55560]/Untrust/6 (10.193.88.91 [14969])

vsys1 216.58.209.238 [443]/Untrust (216.58.209.238 [443])

33557824 Web-Browsing Active Flow * NS 10.193.91.111 [55571]/Untrust/6 (10.193.88.91 [42160])

vsys1 74.125.71.155 [443]/Untrust (74.125.71.155 [443])

33557816 YouTube-Base Active Flow * NS 10.193.91.111 [55562]/Untrust/6 (10.193.88.91 [14877])

vsys1 74.125.105.16 [443]/Untrust (74.125.105.16 [443])

33557813 Web-Browsing Active Flow * NS 10.193.91.111 [55558]/Untrust/6 (10.193.88.91 [48370])

vsys1 216.58.209.224 [443]/Untrust (216.58.209.224 [443])

33557817 YouTube-Base Active Flow * NS 10.193.91.111 [55563]/Untrust/6 (10.193.88.91 [17210])

vsys1 74.125.105.16 [443]/Untrust (74.125.105.16 [443])

33557828 Web-Browsing Active Flow * NS 10.193.91.111 [55575]/Untrust/6 (10.193.88.91 [15106])

vsys1 216.58.209.225 [443]/Untrust (216.58.209.225 [443])

8396 Web-Browsing Active Flow * NS 10.193.91.111 [55568]/Untrust/6 (10.193.88.91 [6490])

vsys1 74.125.133.155 [443]/Untrust (74.125.133.155 [443])

Der gleiche Effekt kann erreicht werden, wenn der Sitzungstisch über den Session-Browser im WebGui aufgelistet wird. Gehen Sie zu Monitor > App Scope > Session Browser.

Hier muss der Filter für "entschlüsselt Spiegel" mit dem Wert "Ja" hinzugefügt werden.

Wenn die Sitzungen geschlossen sind, wird die Sitzung, falls die Sitzung am Log-Ende aktiviert ist, ein Log in den Verkehrs Protokollen erstellen. Mit dem Filter "Flaggen hat entschlüsselt-Spiegel" werden alle Sitzungen, die die Fahne "entschlüsselt-Spiegel" hatten, in den Protokollen angezeigt.

Wenn wir uns nun eine der Sitzungen ansehen, die sich in der gefilterten Liste befinden, können wir auch die Fahne sehen:

Benutzerdefinierte Berichte 

In vielen Fällen ist es notwendig, darüber zu berichten, welcher Verkehr aufgrund von Vorschriften entschlüsselt wurde, so dass diese Informationen auch verwendet werden können, um eine kundenspezifische Berichte für den entschlüsselten Verkehr zu erstellen. Dies kann unter Monitor > PDF Reports > kundenspezifische Berichte verwalten.

1. Erstellen Sie einen neuen Bericht mit der detaillierten Traffic Log Datenbank.
2. Wählen Sie den benötigten Zeitrahmen aus und wählen Sie die benötigten Spalten aus, wobei empfohlen wird, mindestens die Anwendung, die APP-Kategorie,-die Quelle IP, den Quell Benutzer (wenn die Benutzer-ID verwendet wird) Destination IP und die Menge der übertragenen Daten (Bytes) zu haben.
3. Erstellen Sie eine Abfrage, die den Flag-entschlüsselt-Spiegel enthält.
4. Testen Sie den Bericht mit der Option Run now und bestätigen Sie, dass die Daten angezeigt werden.
   Danach kann der Bericht in einem Intervall laufen. Es gibt auch eine Möglichkeit, per e-Mail zu versenden.