どのように復号化されたセッションがミラー化しているかを確認する

パノス6.0

パロアルトネットワークのファイアウォールで復号化ミラーポートを構成するための ドキュメント https://live.paloaltonetworks.com/docs/DOC-6212をお読みください。

セッションがミラーリング用にマークされている場合、ファイアウォールによってミラーフラグが追加されるため、次に示すすべてのデータを専用のインターフェイスに送信する必要があります。 このフラグはセッションに追加されるため、セッションテーブルとログの両方で転送を行うセッションを検索するのは非常に簡単です。

ミラーポートへの転送の対象となるアクティブなセッションを確認するには、次の cli コマンドを使用します。

管理者 @ PA-5050-HA の-プライマリ > セッションを表示するすべてのフィルタの復号化-ミラーはい

--------------------------------------------------------------------------------

ID アプリケーション状態型フラグ Src [スポーツ]/ゾーン/プロト (翻訳 IP[Port])

Vsys Dst [よ]/ゾーン (IP[Port]) の翻訳

--------------------------------------------------------------------------------

33557825ウェブブラウジングアクティブフロー * NS 10.193.91.111 [55572]/Untrust/6 (10.193.88.91 [47276])

vsys1 74.125.71.139 [443]/Untrust (74.125.71.139 [443])

33557818ウェブブラウジングアクティブフロー * NS 10.193.91.111 [55564]/Untrust/6 (10.193.88.91 [2860])

vsys1 216.58.209.230 [443]/Untrust (216.58.209.230 [443])

33557822ウェブブラウジングアクティブフロー * NS 10.193.91.111 [55567]/Untrust/6 (10.193.88.91 [7089])

vsys1 173.194.78.100 [443]/Untrust (173.194.78.100 [443])

33557829ユーチューブ-ベースアクティブフロー * NS 10.193.91.111 [55576]/Untrust/6 (10.193.88.91 [31508])

vsys1 74.125.105.16 [443]/Untrust (74.125.105.16 [443])

33557814ユーチューブ-ベースアクティブフロー * NS 10.193.91.111 [55560]/Untrust/6 (10.193.88.91 [14969])

vsys1 216.58.209.238 [443]/Untrust (216.58.209.238 [443])

33557824ウェブブラウジングアクティブフロー * NS 10.193.91.111 [55571]/Untrust/6 (10.193.88.91 [42160])

vsys1 74.125.71.155 [443]/Untrust (74.125.71.155 [443])

33557816ユーチューブ-ベースアクティブフロー * NS 10.193.91.111 [55562]/Untrust/6 (10.193.88.91 [14877])

vsys1 74.125.105.16 [443]/Untrust (74.125.105.16 [443])

33557813ウェブブラウジングアクティブフロー * NS 10.193.91.111 [55558]/Untrust/6 (10.193.88.91 [48370])

vsys1 216.58.209.224 [443]/Untrust (216.58.209.224 [443])

33557817ユーチューブ-ベースアクティブフロー * NS 10.193.91.111 [55563]/Untrust/6 (10.193.88.91 [17210])

vsys1 74.125.105.16 [443]/Untrust (74.125.105.16 [443])

33557828ウェブブラウジングアクティブフロー * NS 10.193.91.111 [55575]/Untrust/6 (10.193.88.91 [15106])

vsys1 216.58.209.225 [443]/Untrust (216.58.209.225 [443])

8396ウェブブラウジングアクティブフロー * NS 10.193.91.111 [55568]/Untrust/6 (10.193.88.91 [6490])

vsys1 74.125.133.155 [443]/Untrust (74.125.133.155 [443])

セッション・テーブルが webGUI のセッション・ブラウザーを介してリストされている場合も、同じ効果が得られます。モニター > アプリのスコープ > セッションブラウザーに移動します。

ここでは、フィルタは "yes" の値を持つ "復号化ミラー" のために追加する必要があります。

セッションが閉じられると、ログエンドのセッションが有効になっている場合、セッションはトラフィックログにログを作成します。"フラグを使用している復号化-ミラー" フィルタは、フラグ "復号化ミラー" を持っていたすべてのセッションは、ログに表示されます。

ここで、フィルタされたリストにあるセッションの1つを見てみると、次のようなフラグも表示できます。

カスタム レポート 

多くの場面では、規制のためにどのトラフィックが復号化されたかを報告する必要があるため、この情報を使用して、復号化されたトラフィックのカスタムレポートを作成することもできます。 これは、モニタ > PDF レポート > カスタムレポートの管理で行うことができます。

1. 詳細なトラフィックログデータベースを使用して、新しいレポートを作成します。
2. 必要な時間枠を選択し、必要な列を選んで、少なくともアプリケーション、アプリカテゴリ、-ソース ip、ソースユーザー (ユーザー ID が使用されている場合) 宛先 ip、転送されるデータの量 (バイト) を持つことをお勧めします。
3. フラグの復号化ミラーが含まれるクエリを作成します。
4. [今すぐ実行] オプションを使用してレポートをテストし、データが表示されていることを確認します。
   その後、レポートは間隔で実行するようにスケジュールできます。メールで送るという選択肢もあります。