Comment faire pour vérifier quelles sessions décryptées sont portées en miroir

Comment faire pour vérifier quelles sessions décryptées sont portées en miroir

14349
Created On 09/26/18 13:49 PM - Last Modified 06/15/23 21:47 PM


Resolution


Panos 6,0 et plus

 

Lisez le document https://Live.paloaltonetworks.com/docs/doc-6212 pour configurer le port miroir de décryptage sur les pare-feu de Palo Alto Networks.

 

Lorsqu'une session est marquée pour la mise en miroir, le pare-feu y ajoute l'indicateur miroir, de sorte que toutes les données suivantes doivent être envoyées à l'interface dédiée. Étant donné que l'indicateur est ajouté à la session, il est très facile de rechercher les sessions qui sont soumises à la transmission à la fois dans la table de session et dans les journaux.

 

Pour vérifier quelles sessions actives sont soumises au transfert vers le port miroir, utilisez cette commande CLI:

 

admin @ PA-5050-ha-primaire > Show session tous les filtres décrypter-miroir Oui

 

--------------------------------------------------------------------------------

ID Application État Type drapeau Src [Sport] / Zone/Proto (traduit IP[Port])

VSys Dst [Dport] / Zone (traduit IP[Port])

--------------------------------------------------------------------------------

33557825 navigation sur le Web flux actif * NS 10.193.91.111 [55572]/Untrust/6 (10.193.88.91 [47276])

vsys1 74.125.71.139 [443]/Untrust (74.125.71.139 [443])

33557818 navigation sur le Web flux actif * NS 10.193.91.111 [55564]/Untrust/6 (10.193.88.91 [2860])

vsys1 216.58.209.230 [443]/Untrust (216.58.209.230 [443])

33557822 navigation sur le Web flux actif * NS 10.193.91.111 [55567]/Untrust/6 (10.193.88.91 [7089])

vsys1 173.194.78.100 [443]/Untrust (173.194.78.100 [443])

33557829 YouTube-base flux actif * NS 10.193.91.111 [55576]/Untrust/6 (10.193.88.91 [31508])

vsys1 74.125.105.16 [443]/Untrust (74.125.105.16 [443])

33557814 YouTube-base flux actif * NS 10.193.91.111 [55560]/Untrust/6 (10.193.88.91 [14969])

vsys1 216.58.209.238 [443]/Untrust (216.58.209.238 [443])

33557824 navigation sur le Web flux actif * NS 10.193.91.111 [55571]/Untrust/6 (10.193.88.91 [42160])

vsys1 74.125.71.155 [443]/Untrust (74.125.71.155 [443])

33557816 YouTube-base flux actif * NS 10.193.91.111 [55562]/Untrust/6 (10.193.88.91 [14877])

vsys1 74.125.105.16 [443]/Untrust (74.125.105.16 [443])

33557813 navigation sur le Web flux actif * NS 10.193.91.111 [55558]/Untrust/6 (10.193.88.91 [48370])

vsys1 216.58.209.224 [443]/Untrust (216.58.209.224 [443])

33557817 YouTube-base flux actif * NS 10.193.91.111 [55563]/Untrust/6 (10.193.88.91 [17210])

vsys1 74.125.105.16 [443]/Untrust (74.125.105.16 [443])

33557828 navigation sur le Web flux actif * NS 10.193.91.111 [55575]/Untrust/6 (10.193.88.91 [15106])

vsys1 216.58.209.225 [443]/Untrust (216.58.209.225 [443])

8396 navigation sur le Web flux actif * NS 10.193.91.111 [55568]/Untrust/6 (10.193.88.91 [6490])

vsys1 74.125.133.155 [443]/Untrust (74.125.133.155 [443])

 

 

Le même effet peut être atteint si la table de session est répertoriée via le navigateur de session dans le WebGUI. Aller à Monitor > App Scope > navigateur de session.

 

Ici, le filtre doit être ajouté pour "décrypter le miroir" avec la valeur "Oui".

Screen Shot 2014-12-31 à 11.25.45 AM. png

 

Lorsque les sessions sont fermées, dans le cas où la session à l'extrémité du journal est activée, la session va créer un journal dans les journaux de trafic. En utilisant le "Flags has Decrypt-Mirror" filtrer toutes les sessions qui avaient l'indicateur "Decrypt-Mirror" sera affiché dans les journaux.

Screen Shot 2014-12-31 à 11.20.33 AM. png

 

Maintenant, si nous prenons un coup d'oeil à l'une des sessions qui sont dans la liste filtrée, nous pouvons également voir l'indicateur:

 

Screen Shot 2014-12-31 à 11.17.03 am. png

 

Rapports personnalisés 

Dans de nombreuses occasions, il est nécessaire de signaler sur quel trafic a été déchiffré en raison de la réglementation, de sorte que ces informations peuvent également être utilisés pour créer des rapports personnalisés pour le trafic déchiffré. Cela peut être fait sous Monitor > pdf reports > gérer les rapports personnalisés.

  1. Créez un nouveau rapport à l'aide de la base de données du journal de trafic détaillée.
  2. Sélectionnez le laps de temps nécessaire et choisissez les colonnes nécessaires, où recommandé est d'avoir au moins l'application, la catégorie App,-l'adresse IP source, l'utilisateur source (si l'ID utilisateur est utilisé) IP de destination et la quantité de données transférées (octets).
  3. Créez une requête qui inclura l'indicateur Decrypt-Mirror.Screen Shot 2015-01-03 à 12.42.25 PM. png
  4. Testez le rapport avec l'option Exécuter maintenant et confirmez que les données sont affichées. Screen Shot 2015-01-03 à 12.43.08 PM. png
    Après cela, le rapport peut être planifié pour s'exécuter sur un intervalle. Il y a également une option à envoyer par l'email.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClrbCAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language