Por qué una acción de firma de vulnerabilidad se establece como "alerta" mientras que su gravedad es crítica
25335
Created On 03/31/20 19:29 PM - Last Modified 06/02/23 00:03 AM
Question
Ala acción de la firma de vulnerabilidad se establece como "alerta", mientras que la gravedad de la firma es crítica y proporciona la cobertura de un archivo CVE . La acción debe ser reset-both o reset-server o block.
Environment
- PAN-OS 8.1.x
- PAN-OS 9.0.x
- PAN-OS 9.1.x
- Licencia de prevención de amenazas habilitada
Answer
Cuando lanzamos una nueva firma de vulnerabilidad, la acción predeterminada se establece como "alerta" a pesar de la gravedad. El equipo de PaltoAlto observa el comportamiento de la firma durante algún tiempo antes de hacer la acción como "reset-both" o drop. Este tiempo puede ser de una a tres semanas, dependiendo de los protocolos que se detectó y algoritmo interno PaloAlto.
Incluso una acción predeterminada de firma es "alerta", en la mayoría de los casos se bloqueará si su perfil de vulnerabilidad está configurado para bloquear cualquier tráfico que coincida con cualquier firma de vulnerabilidad con gravedad crítica.
- La regla crítica del servidor simple invalida la acción predeterminada para cualquier firma de vulnerabilidad que tenga gravedad crítica y el tipo de host sea el servidor.
- La regla crítica del cliente simple invalida la acción predeterminada para cualquier firma de vulnerabilidad que tenga gravedad crítica y el tipo de host sea el cliente.