Der Protokollierungseintrag mit Echtzeiterkennungskategorie wird selten gesehen.
8548
Created On 07/30/21 01:37 AM - Last Modified 04/22/24 20:28 PM
Symptom
- Der Kunde bestätigt, dass sein firewall mit Advanced URL Filtering gültiges Lizenzabonnement ordnungsgemäß funktioniert und generiert den Protokolleintrag mit Echtzeiterkennungskategorie beim Zugriff auf die in https://docs.paloaltonetworks.com/ pan-os /10-1/ -admin/url-filtering/enable-advanced-url-filtering/verify-advanced-url-filtering.html genannten Teststandorte pan-os
- Der Kunde sieht das Verhalten, dass sein firewall URL gültiges Lizenzabonnement mit advanced Filtering häufig die Datenverkehre erhält, die den unten aufgeführten riskanten Kategorien zugeordnet sind, aber der Eintrag ohne Protokollierung mit Echtzeiterkennungskategorie wurde für die Datenverkehre protokolliert, die den unten aufgeführten riskanten Kategorien zugeordnet sind.
- Die URL erweiterte Filterung wird für die PANDB URL unten aufgeführten riskanten Filterkategorien verwendet.
-Unbekannt
-Mittleres Risiko
-Fragwürdig
-Geparkt
-Webhosting
-Unzureichender Inhalt
-Shareware-und-Freeware
-Dynamic DNS
-Neu registrierte Domain
- Der Kunde erwartet, dass die Kategorie "Keine Protokollierung mit Echtzeiterkennung" angezeigt wird, wenn das firewall mit Advanced URL Filtering gültige Lizenzabonnement den Datenverkehr verarbeitet, der mit der oben aufgeführten riskanten Filterkategorie verbunden PANDB URL ist.
Environment
- Erweiterte URL Filterung
- PANOS 9.1
- PANOS 10,0
- PANOS 10,1
Cause
- Wenn das firewall URL gültige Lizenzabonnement mit erweiterter Filterung den Datenverkehr aus einer der oben aufgeführten PANDB URL riskanten Filterkategorien verarbeitet und die Abfrage an den Server für erweiterte URL Filterung sendet, um das Urteil der Website zu überprüfen. Wenn der Advanced URL Filtering-Server das "Benign"-Urteil für die betreffende riskante Kategorie bereitstellt und firewall dieses erfolgreich empfängt, schreibt er firewall den Protokollierungseintrag mit generischer PANDB riskanter Kategorie für den Datenverkehr.Da die riskante Kategorie vom Advanced Filtering-Server als "Benign" identifiziert URL wird. Wenn der Advanced URL Filtering-Server entweder "Malware" oder "Command-and-Control" oder "Phishing" oder "Grayware" für die betreffende riskante Kategorie bereitstellt, firewall schreibt er den Protokollierungseintrag mit Echtzeiterkennungskategorie für den Datenverkehr.Der firewall schreibt niemals den Protokollierungseintrag mit Echtzeiterkennungskategorie für den Datenverkehr, wenn er die Abfrage nur an den URL Erweiterten Filterserver sendet, um das Urteil der Website zu überprüfen.