Comment ajouter les IP adresses exemptées des journaux de surveillance des menaces

Comment ajouter les IP adresses exemptées des journaux de surveillance des menaces

112608
Created On 09/26/18 21:06 PM - Last Modified 03/15/24 07:07 AM


Symptom


Aperçu

Ce document décrit les étapes à prendre pour ajouter une adresse IP exemptée pour une menace spécifique. Cette procédure est valable pour toutes les protections de vulnérabilité, anti-spyware, et DNS les signatures.

Environment


  • Palo Alto Firewall .
  • Tout PAN-OS .
  • Exceptions aux menaces vues dans le journal des menaces

Resolution


Étapes

  1. Accédez GUI à : Surveillez > journaux > menace
Journal des menaces
 
  1. Passez au-dessus du nom de la menace cible, un ▾'icône affichera directement le nom menace. Cliquez sur l▾ de retrait et sélectionnez « Exception ».C’est la menace à laquelle les IP adresses exemptées doivent être ajoutées.
Détails de la menace
  1. Assurez-vous qu’il existe un profil de vulnérabilité associé à une sécurité policy . Dans cet exemple, le profil de vulnérabilité'test123 'a été appliqué. À ce stade, cochez la case pour mettre en évidence le profil et ajouter IP l’adresse (comme indiqué dans l’image ci-dessous). Cliquez OK sur .
    Remarque: IP L’adresse peut être la victime ou l’attaquant (adresse source ou adresse de destination) comme indiqué dans les journaux suivants.
Détails de la menace
 
  1. Confirmez les mises à jour en allant dans le profil de vulnérabilité et en cliquant sur l'onglet exceptions. À partir de là, cliquez surIP l’applet « Exemptions d’adresse», comme indiqué ci-dessous, pour vérifier les modifications.
Menace ID
 
  1. Après avoir vérifié les modifications et confirmé les IP adresses des hôtes sont entrés correctement, cliquez OK .
  1. Accédez maintenant au profil de protection contre les vulnérabilités et vérifiez si l’action par défaut de l’exception créée pour la signature correspond à ce qui est prévu avec le trafic correspondant à IP l’exemption d’adresse.Si l’action par défaut n’est pas ce qui est prévu, ajustez-la à l’action correcte.
Menace ID
 
  1. Engagez la configuration. Désormais, dans cet exemple, le trafic à partir ou à IP l’adresse (es) ajouté à la liste des adresses IP exemptées déclenchera une action par défaut (alerte) pour cette signature de vulnérabilité (pour le trafic correspondant à une sécurité Policy liée à ce profil de vulnérabilité). Tous les autres trafics ne correspondant pas à l’exception granulaire (exception granulaire, c’est-à-dire une exception qui a IP configuré les exemptions d’adresse) exécuteront les actions définies dans l’onglet « Règles » du profil de vulnérabilité. 
  2. L’exception ajoute DNS à signature par des journaux de moniteur de menace est différent les deux autres. Vous ne pouvez pas ajouter une adresse IP dans la liste d’exception.
    1. À partir PAN-OS de 9.0, les réseaux PaloAlto introduisent un autre type de signature - DNS security . Une exception peut être ajoutée à la DNS signature en sélectionnant par le biais de journaux de menaces.
Image ajoutée par l'utilisateur
2. L’exception est ajoutée, cependant, il n’y a pas de place pour ajouter IP l’adresse. Cette exception est ajoutée pour tout trafic qui correspondra à ce profil.
Image ajoutée par l'utilisateur

Additional Information


Articles KB connexes: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UscCAE
 
Notez que souvent, les IP exemptions d’adresse sont mal interprétées comme des exceptions aux exceptions, cependant, l’interprétation correcte des IP exemptions d’adresse est qu’elles rendent les exceptions plus granulaires.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm60CAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language