为什么漏洞签名操作设置为"警报",而其严重性至关重要
34138
Created On 03/31/20 19:29 PM - Last Modified 08/16/24 01:07 AM
Question
A漏洞签名操作设置为"警报",而签名的严重性至关重要,并且它为已知 CVE 的。 操作应同时重置或重置服务器或阻止。
Environment
- PAN-OS 8.1.x
- PAN-OS 9.0.x
- PAN-OS 9.1.x
- 已启用威胁防护许可证
Answer
当我们发布新的漏洞签名时,默认操作被设置为"警报",尽管严重性。 PaltoAlto 的团队在将操作作为"重置-两者"或丢弃之前观察签名的行为一段时间。 这一次可以是一到三周,具体取决于检测到的协议和 PaloAlto 内部算法。
即使是签名默认操作也是"警报",在大多数情况下,如果您的漏洞配置文件配置为阻止任何与严重性严重性特征的漏洞签名匹配的流量,则该操作也会被阻止。
- 简单服务器关键规则将覆盖任何严重性严重性且主机类型为服务器的漏洞签名的默认操作。
- 简单客户端关键规则将覆盖任何严重性严重性且主机类型为客户端的漏洞签名的默认操作。