Warum eine Sicherheitslückensignaturaktion als "Warnung" festgelegt wird, während ihr Schweregrad entscheidend ist
34226
Created On 03/31/20 19:29 PM - Last Modified 08/16/24 01:07 AM
Question
ADie Signaturaktion für Sicherheitsanfälligkeiten wird als "Warnung" festgelegt, während der Schweregrad der Signatur kritisch ist und die Abdeckung für eine bekannte CVE bereitstellt. Die Aktion sollte entweder reset-both oder reset-server oder block sein.
Environment
- PAN-OS 8.1.x
- PAN-OS 9.0.x
- PAN-OS 9.1.x
- Threat Prevention-Lizenz aktiviert
Answer
Wenn wir eine neue Verwundbarkeitssignatur freigeben, wird die Standardaktion trotz des Schweregrads als "Warnung" festgelegt. PaltoAltos Team beobachtet das Verhalten der Signatur für einige Zeit, bevor es die Aktion als "Reset-Both" oder Drop macht. Diese Zeit kann ein bis drei Wochen betragen, abhängig von den Protokollen, die erkannt wurden, und PaloAlto-internen Algorithmus.
Selbst eine Signaturstandardaktion ist "Alert", in den meisten Fällen wird sie blockiert, wenn Ihr Sicherheitsanfälligkeitsprofil so konfiguriert ist, dass Datenverkehr blockiert wird, der mit einer Sicherheitslückensignatur mit kritischem Schweregrad übereinstimmt.
- Die einfach serverkritische Regel überschreibt die Standardaktion für jede Sicherheitslückensignatur, die einen kritischen Schweregrad hat und der Hosttyp Server ist.
- Die einfach clientkritische Regel überschreibt die Standardaktion für jede Sicherheitslückensignatur, die einen kritischen Schweregrad hat, und der Hosttyp ist Client.