重大度が重大である一方で、脆弱性の署名アクションが 「アラート」として設定される理由
25357
Created On 03/31/20 19:29 PM - Last Modified 06/02/23 00:03 AM
Question
A脆弱性署名のアクションは"警告"として設定され、署名の重大度は重大であり、既知の CVE . アクションは、リセット・両方、リセット・サーバーまたはブロックのいずれかでなければなりません。
Environment
- PAN-OS 8.1.x
- PAN-OS 9.0.x
- PAN-OS 9.1.x
- 脅威対策ライセンスが有効
Answer
新しい脆弱性の署名をリリースすると、重大度に関わらず、既定のアクションが "alert" に設定されます。 PaltoAltoのチームは、アクションを「リセットboth」またはドロップする前に、しばらくの間署名の動作を観察します。 この時間は、それが検出されたプロトコルとPaloAlto内部アルゴリズムに応じて、1〜3週間することができます。
シグネチャの既定のアクションも "アラート" であり、重大度が重大な脆弱性シグネチャと一致するトラフィックをブロックするように脆弱性プロファイルが構成されている場合、ほとんどの場合、このアクションはブロックされます。
- サーバークリティカルな簡易ルールは、重大度が重大でホストの種類がサーバーである脆弱性シグネチャの既定の動作を上書きします。
- 簡易クライアント クリティカル ルールは、重大度が重大でホストの種類がクライアントである脆弱性シグネチャの既定のアクションをオーバーライドします。