IP脅威モニタログから除外アドレスを追加する方法
112600
Created On 09/26/18 21:06 PM - Last Modified 03/15/24 07:07 AM
Symptom
概要
このドキュメントでは、特定の脅威に対して除外アドレスを追加 IP する手順について説明します。 この手順は、すべての脆弱性対策、スパイウェア対策、および DNS 署名に対して有効です。
Environment
- パロ アルト Firewall .
- 任意 PAN-OS の .
- 脅威ログに表示される脅威の例外
Resolution
手順
- 移動 GUI :脅威>ログ>監視する
- ターゲット脅威名にマウスカーソルを合わせると、プルダウンドロップダウンリスト() icon が脅威名に右に表示されます。 △ △ ドロップダウン アイコンをクリックし、 [ 例外 ] を選択します。これは、除外 IP アドレスが追加される脅威です。
- セキュリティに関連付けられている脆弱性プロファイルがあることを確認 policy します。 この例では、' test123 ' 脆弱性プロファイルが適用されています。 この時点で、チェックボックスをオンにしてプロファイルをハイライト表示し IP 、アドレスを追加します(下の図に示すように)。 OKをクリックします。
注: IP このアドレスは、次のログに示すように、被害者または攻撃者 (送信元アドレスまたは宛先アドレス) です。
- アップデートを確認するには、脆弱性プロファイルに行き、[例外] タブをクリックします。 このボタンをクリックし、次に示すように 、アドレスIP の除外をクリックして変更を確認します。
- 変更を確認し、 IP ホストのアドレスが正しく入力されていることを確認したら、 OK をクリックします。
- 脆弱性保護プロファイルにアクセスし、作成された例外のデフォルトのシグネチャアクションが、アドレス免除に一致するトラフィックで実行される予定と一致するかどうかを確認します IP 。デフォルトのアクションが意図したものではない場合は、正しい Action に調整します。
- 構成をコミット します。 今後、この例では、 IP 除外アドレスのリストに追加されたアドレスまたは宛先アドレスは、 IP この脆弱性のシグネチャ( Policy この脆弱性プロファイルに関連付けられたセキュリティに一致するトラフィックの場合)に対してデフォルト(アラート)アクションをトリガーします。 詳細な例外に一致しない他のすべてのトラフィック (詳細な例外、 IP つまり、アドレス免除が設定されている例外) は、脆弱性プロファイルの [ルール] タブで定義されたアクションを実行します。
- 脅威モニタログによる署名に対する例外の追加 DNS は、他の 2 つのログとは異なります。 IP例外リストにアドレスを追加することはできません。
- PAN-OS9.0 以降、PaloAlto ネットワークは別の種類の署名を導入 DNS security します。 DNS脅威ログを使用して選択することで、署名に例外を追加できます。
2. 例外が追加されましたが、アドレスを追加する場所はありません IP 。 この例外は、このプロファイルに一致するすべてのトラフィックに対して追加されます。
Additional Information
関連 KB 記事: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UscCAE
多くの場合、 IP アドレス免除は例外例外として誤って解釈されますが、アドレス免除の正しい解釈 IP は、例外をより細かくすることです。 |