パロ アルト ネットワークス DNS の署名は、管理インターフェイスからのトラフィックに対してトリガーされます。
56418
Created On 04/08/19 03:32 AM - Last Modified 03/06/25 17:15 PM
Symptom
DNS の管理インターフェイス(192.168.10.1)から発信されたトラフィック firewall が悪意のある署名をトリガ DNS しています。
Cause
1) 脅威でフィルタリングすると ID 、内部マシン(10.10.10.10)からのトラフィックも同じシグネチャに一致していることがわかります。
2) セキュリティにマッピングされたスパイウェア対策プロファイルを確認すると Policy HTTP TLS 、/回避署名(14978/14984)は「警告」に設定されています。
3)内部マシンが悪意のあるウェブサイトに手を差し伸べようとしているので、これは起こっています HTTP . DNS署名は、内部マシンが解決を行うとトリガー DNS されます。
スパイウェア対策署名 14978 および 14984 が有効になっている firewall ため、's の管理インターフェイスは、 DNS 解決 IP したアドレスと IP クライアントからの要求のアドレスを比較する別のクエリを発行してドメインを解決します。 これは DNS 、署名にも一致します。
Resolution
これは、この設定に基づく予期される動作であり、 DNS シグニチャがアラート/シンクホールに設定されている場合に発生します(シンクホール IP トラフィックがにルーティングされている場合 firewall )。 これは、解決が起こらないために DNS シグネチャが"ブロック"または HTTP HTTPS トラフィックがトリガーされない場合には DNS 発生しません。
DNSシグニチャが警告/シンクホールとして設定されている場合、 Policy セキュリティは、 DNS firewall この問題を軽減するために管理インターフェイス
NOTEからのトラフィックの署名と一致しないスパイウェア対策プロファイルで構成できます。管理インターフェイスは、 DNS IP オブジェクト FQDN (Object>Address) として追加され、セキュリティで使用される悪意のあるドメインのアドレスを解決するクエリも開始 firewall policy します。 このクエリは、クエリがブロックされた場合、30 秒ごとに繰り返 DNS されます。 この解決策は、オブジェクトを削除 FQDN し DNS Security 、/署名とフィルタリングを使用してこれらのドメインへの接続 DNS URL をブロックすることです。
Additional Information
詳細については、以下のアドバイザリを参照してください:
TLS-HTTP- https://live.paloaltonetworks.com/t5/Customer-Advisories/Information-regarding- ヘッダー回避/ta-p/76562