Problem
Die Agentur lose User-ID-Funktion wird mit Client-soning konfiguriert, die mit dem Server-Operator und dem Event-Log-Reader aktiviert ist. Beim Betrachten des IP-Mapping werden die IPS mit dem Service (admin)-Benutzernamen und nicht mit dem eigentlichen Benutzernamen abgebildet.
Hinweis: die Agentless User-ID wurde in Pan-OS 5,0 eingeführt.
Hier ist ein Beispiel für die User-IP-Mapping-Tabelle in diesem Szenario:
10.38.135.32 vsys1 AD Domain/Admin 1995 1995
10.39.240.252 vsys1 AD BLR-Els-NW-TS-1\administrator 1222 1222
172.16.114.58 vsys1 unbekannte 0 3
10.38.17.242 vsys1 AD sw017242\administrator 429 429
10.38.35.31 vsys1 unbekannte 2 5
10.38.41.125 vsys1 AD Domain/Admin 98 98
10.38.41.124 vsys1 AD Domain/Admin 876 876
10.38.39.79 vsys1 AD Domain/Admin 2169 2169
10.17.58.44 vsys1 AD odls-win7\administrator 1708 1708
10.38.172.154 vsys1 AD Domain/Admin 1332 1332
10.20.139.164 vsys1 AD Domain/Admin 1803 7
10.38.153.80 vsys1 unbekannte 1 4
10.38.97.115 vsys1 AD Domain/Admin 227 227
10.38.172.159 vsys1 AD Domain/Admin 1450 1450
10.38.39.243 vsys1 unbekannte 0 3
Die obige Domain/Admin ist die Benutzer Bescheinigung mit Event-Log-Reader, Server-Operator und verteilten com-Benutzerrechten.
Ein entsprechendes UserID-Log kann wie folgt erscheinen:
admin > Log-UserID-Richtung gleich rückwärts anzeigen
Domain, Empfangszeit, serielle #, Typ, Bedrohung/Content-Typ, Konfigurations Version, Zeit Generierung, virtuelles System, IP, Benutzer, DataSourceName, EventID, Wiederholungszahl, Timeout, beginport, Endport, DataSource, DataSourceType, Seqno, actionFlags
1, 2013/03/19 10:55:23, 0009c101625, UserID, Login, 3, 2013/03/19 10:55:23, vsys1, 10.38.97.103, Domain/Admin, soning, 0, 1, 2700, 0, 0, Active-Verzeichnis, unknown, 1861, 0x0
1, 2013/03/19 10:52:54, 0009c101625, UserID, Login, 3, 2013/03/19 10:52:54, vsys1, 10.38.45.188, Domain/Admin, soning, 0, 1, 2700, 0, 0, Active-Verzeichnis, unknown, 1860, 0x0
1, 2013/03/19 10:52:44, 0009c101625, UserID, Login, 3, 2013/03/19 10:52:44, vsys1, 10.38.97.120, Domain/Admin, soning, 0, 1, 2700, 0, 0, Active-Verzeichnis, unknown, 1859, 0x0
1, 2013/03/19 10:51:34, 0009c101625, UserID, Login, 3, 2013/03/19 10:51:34, vsys1, 10.38.41.0, Domain/Admin, soning, 0, 1, 2700, 0, 0, Active-Verzeichnis, unknown, 1858, 0x0
1, 2013/03/19 10:50:22, 0009c101625, UserID, Login, 3, 2013/03/19 10:50:22, vsys1, 10.38.61.51, ixia6151\admin, Probing, 0, 1, 2700, 0, 0, Active-Verzeichnis, unknown, 1857, 0x0
Ursache
Die Client-Sonde wird mit demselben Benutzernamen in den Ereignisprotokollen der Anzeige durchgeführt. Der Admin-User-soning ist für alle IPS, die geprüft werden, erfolgreich, und der tatsächliche Benutzername im IP-Mapping wird mit dem Admin-Benutzernamen überschrieben.
Lösung
Platzieren Sie den Admin-Benutzer in der Ignorierliste, um zu verhindern, dass der Benutzername überschrieben wird
- Geben Sie den CLI im Konfigurations Modus ein.
> configure
- Fügen Sie den Admin-Benutzer in die Ignorierliste ein.
# Set User-ID-Sammler ignorieren-Benutzer [domain\admin admin]
ein weiteres Beispiel im Standard-Format:
# Set User-ID-Sammler ignorieren-Benutzer [AD2008\test Test]
, um in einer einzigen Verwendung hinzuzufügen, verwenden Sie nicht die eckigen Klammern
# Set Benutzer-ID-Collector ignorieren-User AD2008\test
- Begehen Sie die Änderungen
# Commit
Besitzer: Anatrajan