User-ID n'envoie pas de sondes WMI pour les adresses IP connues
User-ID n'envoie pas de sondes WMI pour les adresses IP connues
17088
Created On 09/26/18 19:16 PM - Last Modified 06/08/23 06:22 AM
Resolution
Symptôme
L'exploration WMI vers des adresses IP connues ne sont pas initiées par l'agent d'ID utilisateur ou le pare-feu de réseaux Palo Alto (lorsqu'ils sont configurés avec l'ID utilisateur sans agent).
Remarque: l'ID utilisateur sans agent a été introduit dans Pan-OS 5,0.
Cause
Le pare-feu de Palo Alto Networks possède deux types de sondes WMI:
Les sondes initiales-se produisent pendant la traction initiale des mappages d'utilisateur-IP.
Sondes périodiques-se produisent régulièrement à partir du pare-feu après la traction initiale.
L'agent User-ID tire tous les mappages utilisateur-IP lorsqu'il se connecte à Active Directory. Une fois que l'agent d'ID utilisateur a récupéré toutes les informations, le pare-feu de Palo Alto Networks effectue ensuite une première sonde sur toutes les adresses IP connues et inconnues. Si la sonde initiale ne reçoit aucune réponse d'une IP, le pare-feu ne sonde pas cette adresse à nouveau. En outre, le pare-feu n'ajoute pas d'IPS non réactive à la liste des sondes périodiques, qui sont envoyées chaque minute. Les clients qui répondent aux sondes initiales sont ajoutés à la liste des sondes périodiques et se font sonder régulièrement.
Le pare-feu de Palo Alto Networks sonde l'IPS insensible à la prochaine traction initiale des mappages utilisateur-IP, qui est généralement effectuée à la connexion de l'agent ou après l'utilisateur-IP cartographie temps.