Cómo comprobar qué sesiones descifradas se están portando espejadas
Resolution
Panos 6,0 y hasta
Lea el documento https://Live.paloaltonetworks.com/docs/DOC-6212 para configurar el puerto de Decrypt Mirror en los cortafuegos de Palo Alto Networks.
Cuando una sesión está marcada para espejado, el cortafuegos le agrega el marcador de espejo, por lo que todos los datos que se indican a continuación deben enviarse a la interfaz dedicada. Dado que la bandera se agrega a la sesión, es muy fácil buscar las sesiones que se someten a reenvío tanto en la tabla de sesión como en los logs.
Para comprobar qué sesiones activas se someten a reenvío al puerto de réplica, utilice este comando CLI:
admin @ PA-5050-ha-primaria > Mostrar sesión todo filtro desencriptar-espejo sí
--------------------------------------------------------------------------------
ID aplicación estado tipo bandera fuente [deporte] zona/Proto (traducido de IP[Port])
Vsys Dst [Dport] zona (traducido de IP[Port])
--------------------------------------------------------------------------------
33557825 web-navegación de flujo activo * NS 10.193.91.111 [55572]/Untrust/6 (10.193.88.91 [47276])
vsys1 74.125.71.139 [443]/Untrust (74.125.71.139 [443])
33557818 web-navegación de flujo activo * NS 10.193.91.111 [55564]/Untrust/6 (10.193.88.91 [2860])
vsys1 216.58.209.230 [443]/Untrust (216.58.209.230 [443])
33557822 web-navegación de flujo activo * NS 10.193.91.111 [55567]/Untrust/6 (10.193.88.91 [7089])
vsys1 173.194.78.100 [443]/Untrust (173.194.78.100 [443])
33557829 YouTube-base flujo activo * NS 10.193.91.111 [55576]/Untrust/6 (10.193.88.91 [31508])
vsys1 74.125.105.16 [443]/Untrust (74.125.105.16 [443])
33557814 YouTube-base flujo activo * NS 10.193.91.111 [55560]/Untrust/6 (10.193.88.91 [14969])
vsys1 216.58.209.238 [443]/Untrust (216.58.209.238 [443])
33557824 web-navegación de flujo activo * NS 10.193.91.111 [55571]/Untrust/6 (10.193.88.91 [42160])
vsys1 74.125.71.155 [443]/Untrust (74.125.71.155 [443])
33557816 YouTube-base flujo activo * NS 10.193.91.111 [55562]/Untrust/6 (10.193.88.91 [14877])
vsys1 74.125.105.16 [443]/Untrust (74.125.105.16 [443])
33557813 web-navegación de flujo activo * NS 10.193.91.111 [55558]/Untrust/6 (10.193.88.91 [48370])
vsys1 216.58.209.224 [443]/Untrust (216.58.209.224 [443])
33557817 YouTube-base flujo activo * NS 10.193.91.111 [55563]/Untrust/6 (10.193.88.91 [17210])
vsys1 74.125.105.16 [443]/Untrust (74.125.105.16 [443])
33557828 web-navegación de flujo activo * NS 10.193.91.111 [55575]/Untrust/6 (10.193.88.91 [15106])
vsys1 216.58.209.225 [443]/Untrust (216.58.209.225 [443])
8396 web-navegación de flujo activo * NS 10.193.91.111 [55568]/Untrust/6 (10.193.88.91 [6490])
vsys1 74.125.133.155 [443]/Untrust (74.125.133.155 [443])
El mismo efecto se puede lograr si la tabla de sesión se muestra a través del explorador de sesiones en el webGUI. Ir al monitor > App Scope > navegador de sesión.
Aquí el filtro necesita ser agregado para "descifrar el espejo" con el valor "sí".
Cuando se cierran las sesiones, en caso de que la sesión en el extremo del registro esté activada, la sesión creará un log en los registros de tráfico. Usando el filtro "flags tiene descifrar-espejo" todas las sesiones que tenían la bandera "descifrar-espejo" se mostrarán en los logs.
Ahora bien, si echamos un vistazo a una de las sesiones que están en la lista filtrada, también podemos ver la bandera:
Informes personalizados
En muchas ocasiones es necesario informar sobre qué tráfico se ha descifrado debido a las reglamentaciones, por lo que esta información también se puede utilizar para crear informes personalizados para el tráfico descifrado. Esto se puede hacer bajo el monitor > PDF informes > administrar informes personalizados.
- Cree un nuevo informe utilizando la base de datos detallada del registro de tráfico.
- Seleccione el marco de tiempo necesario y elija las columnas necesarias, donde se recomienda tener al menos la aplicación, la categoría App,-la IP de origen, el usuario de origen (si se utiliza el identificador de usuario) IP de destino y la cantidad de datos transferidos (bytes).
- Cree una consulta que incluya el indicador Decrypt-Mirror.
- Pruebe el informe con la opción ejecutar ahora y confirme que se muestran los datos.
Después de que el informe se puede programar para ejecutarse en un intervalo. También hay una opción para enviar por correo electrónico.