Comment faire pour déterminer si la session a été décryptée basée sur les indicateurs dans les journaux exportés/syslog

Comment faire pour déterminer si la session a été décryptée basée sur les indicateurs dans les journaux exportés/syslog

23998
Created On 09/26/18 13:55 PM - Last Modified 06/07/23 16:59 PM


Resolution


Vue d’ensemble

Pour déterminer si la session a été décryptée par proxy avant, cHeck le champ Flags dans le journal d'exportation.

Détails

Le champ Flag est une somme de plusieurs valeurs décrivant la session plus en détail. Si la somme d'une opération de bits and sur le champ Flags et la valeur 0x01000000 est supérieure à 0, alors la session a été décryptée par proxy avant.


Exemples d'entrées de journal:

Juil 27 23:20:45 10.193.20.181 1, 2013/07/27 23:20:45, 007200001038, Traffic, end, 1, 2013/07/27 23:20:44, 192.168.181.188, 173.194.66.94, 10.193.16.181, 173.194.66.94, L3,,, navigation sur le Web, vsys1, L3-Trust, L3-detrust, ethernet1/4, ethernet1/3, ubuntu1, 2013/07/27 23:20:45, 22162, 1, 1690, 443, 26104, 443,0x1400000, TCP, autoriser, 10535, 1339, 9196, 21, 2013/07/27 23:18:43, 61, Search-Engines, 0, 11498, 0x0, 192.168.0.0-192.168.255.255, Etats-Unis, 0, 9, 12

Juil 27 23:22:52 10.193.20.181 1, 2013/07/27 23:22:52, 007200001038, Traffic, fin, 1, 2013/07/27 23:22:52, 192.168.181.188, 23.65.181.80, 10.193.16.181, 23.65.181.80, L3,,, SSL, vsys1, L3-Trust, L3-detrust, ethernet1/4, ethernet1/3, ubuntu1, 2013/07/27 23:22:52, 22221, 1, 1699, 443, 54395, 443,0x400000, TCP, Allow, 116882, 5721, 111161, 131, 2013/07/27 23:21:14, 68, Content-Delivery-Networks, 0, 11523, 0x0, 192.168.0.0-192.168.255.255, Etats-Unis, 0, 48, 83

Juil 27 23:55:17 10.193.20.181 1, 2013/07/27 23:55:17, 007200001038, Threat, virus, 1, 2013/07/27 23:55:11, 188.40.238.252, 192.168.181.188, 188.40.238.252, 10.193.16.181, L3,,, navigation sur le Web, vsys1, L3-méfiance, L3-Trust, ethernet1/3, ethernet1/4, ubuntu1, 2013/07/27 23:55:16, 22631, 1, 443, 1721, 443, 33657,0x81400000, TCP, Deny, "EICAR. com", EICAR Test File (100,000), any, Medium, Server-to-client, 1939, 0x0, Allemagne, 192.168.0.0-192.168.255.255, 0,

Pour cet exemple, le décryptage sur le pare-feu de Palo Alto Networks est activé pour les catégories suivantes: "moteurs de recherche" et "ordinateur-et-Internet-Info".

Premier log:

Catégorie: moteurs de recherche-Flag: 0x1400000

0x1400000 & 0x01000000 = 0x01000000 > 0 cela signifie que la session a été décryptée

0x1400000 & 0x00400000 = 0x00400000 cela signifie que la session a été natted

Deuxième log:

Catégorie: Content-Delivery-Networks-Flag: 0x400000

0x400000 & 0x01000000 = 0 cela signifie que la session n'a pas été décryptée

0x400000 & 0x00400000 = 0x400000 cela signifie que la session a été natted

Troisième log:

Catégorie: ordinateur-et-Internet-Info (non visible dans ce journal)-Flag: 0x81400000

0x81400000 & 0x80000000 = 0x80000000 cela signifie qu'il y a une capture de paquets pour la session

0x81400000 & 0x01000000 = 0x01000000 cela signifie que la session a été décryptée

0x81400000 & 0x00400000 = 0x00400000 cela signifie que la session a été natted

propriétaire : rweglarz
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm1JCAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language