Comment ajouter les IP adresses exemptées des journaux de surveillance des menaces
Comment ajouter les IP adresses exemptées des journaux de surveillance des menaces
112608
Created On 09/26/18 21:06 PM - Last Modified 03/15/24 07:07 AM
Symptom
Aperçu
Ce document décrit les étapes à prendre pour ajouter une adresse IP exemptée pour une menace spécifique. Cette procédure est valable pour toutes les protections de vulnérabilité, anti-spyware, et DNS les signatures.
Environment
Palo Alto Firewall .
Tout PAN-OS .
Exceptions aux menaces vues dans le journal des menaces
Resolution
Étapes
Accédez GUI à : Surveillez > journaux > menace
Passez au-dessus du nom de la menace cible, un ▾'icône affichera directement le nom menace. Cliquez sur l▾ de retrait et sélectionnez « Exception ».C’est la menace à laquelle les IP adresses exemptées doivent être ajoutées.
Assurez-vous qu’il existe un profil de vulnérabilité associé à une sécurité policy . Dans cet exemple, le profil de vulnérabilité'test123 'a été appliqué. À ce stade, cochez la case pour mettre en évidence le profil et ajouter IP l’adresse (comme indiqué dans l’image ci-dessous). Cliquez OK sur . Remarque: IP L’adresse peut être la victime ou l’attaquant (adresse source ou adresse de destination) comme indiqué dans les journaux suivants.
Confirmez les mises à jour en allant dans le profil de vulnérabilité et en cliquant sur l'onglet exceptions. À partir de là, cliquez surIP l’applet « Exemptions d’adresse», comme indiqué ci-dessous, pour vérifier les modifications.
Après avoir vérifié les modifications et confirmé les IP adresses des hôtes sont entrés correctement, cliquez OK .
Accédez maintenant au profil de protection contre les vulnérabilités et vérifiez si l’action par défaut de l’exception créée pour la signature correspond à ce qui est prévu avec le trafic correspondant à IP l’exemption d’adresse.Si l’action par défaut n’est pas ce qui est prévu, ajustez-la à l’action correcte.
Engagez la configuration. Désormais, dans cet exemple, le trafic à partir ou à IP l’adresse (es) ajouté à la liste des adresses IP exemptées déclenchera une action par défaut (alerte) pour cette signature de vulnérabilité (pour le trafic correspondant à une sécurité Policy liée à ce profil de vulnérabilité). Tous les autres trafics ne correspondant pas à l’exception granulaire (exception granulaire, c’est-à-dire une exception qui a IP configuré les exemptions d’adresse) exécuteront les actions définies dans l’onglet « Règles » du profil de vulnérabilité.
L’exception ajoute DNS à signature par des journaux de moniteur de menace est différent les deux autres. Vous ne pouvez pas ajouter une adresse IP dans la liste d’exception.
À partir PAN-OS de 9.0, les réseaux PaloAlto introduisent un autre type de signature - DNS security . Une exception peut être ajoutée à la DNS signature en sélectionnant par le biais de journaux de menaces.
2. L’exception est ajoutée, cependant, il n’y a pas de place pour ajouter IP l’adresse. Cette exception est ajoutée pour tout trafic qui correspondra à ce profil.
Notez que souvent, les IP exemptions d’adresse sont mal interprétées comme des exceptions aux exceptions, cependant, l’interprétation correcte des IP exemptions d’adresse est qu’elles rendent les exceptions plus granulaires.