L’entrée de journalisation avec la catégorie de détection en temps réel est rarement vue.
8396
Created On 07/30/21 01:37 AM - Last Modified 04/22/24 20:28 PM
Symptom
- Le client confirme que son firewall abonnement à licence valide avec filtrage avancé fonctionne correctement et génère URL l’entrée de journalisation avec la catégorie de détection en temps réel lors de l’accès aux sites de test mentionnés dans https://docs.paloaltonetworks.com/ pan-os /10-1/ pan-os -admin/url-filtering/enable-advanced-url-filtering/verify-advanced-url-filtering.html
- Le client constate le comportement selon lequel son firewall abonnement de licence valide de filtrage avancé reçoit souvent les URL trafics associés aux catégories à risque répertoriées ci-dessous, mais l’entrée sans journalisation avec la catégorie de détection en temps réel a été enregistrée pour les trafics associés aux catégories à risque répertoriées ci-dessous.
- Le filtrage avancé URL sera utilisé pour la catégorie de filtrage à risque répertoriée PANDB URL ci-dessous.
-Inconnu
-Risque moyen
-Discutable
-Parqué
-Hébergement Web
-Contenu insuffisant
-Shareware-and-freeware
-Dynamique DNS
-Domaine nouvellement enregistré
- Le client s’attend à ce que l’entrée de journalisation sans connexion avec la catégorie de détection en temps réel soit vue chaque fois que firewall l’abonnement de licence valide avec filtrage avancé URL gère le trafic associé à la catégorie de filtrage à risque répertoriée ci-dessus. PANDB URL
Environment
- Filtrage avancé URL
- PANOS 9,1
- PANOS 10,0
- PANOS 10,1
Cause
- Lorsque firewall l’abonnement de licence valide avec filtrage avancé URL gère le trafic de l’une des catégories de filtrage à risque répertoriées ci-dessus et PANDB URL qu’il envoie la requête au serveur de filtrage avancé URL pour valider le verdict du site. Si le serveur de filtrage avancé URL fournit le verdict « Bénin » pour la catégorie risquée en question et le reçoit firewall avec succès, le écrit firewall l’entrée de journalisation avec la catégorie risquée générique PANDB pour le trafic.Étant donné que la catégorie à risque est identifiée comme « bénigne » par le URL serveur de filtrage avancé. Si le serveur de filtrage avancé URL fournit un « malware » ou « commande-et-contrôle » ou « phishing » ou « grayware » pour la catégorie risquée en question, le écrit firewall l’entrée de journalisation avec la catégorie de détection en temps réel pour le trafic.Le firewall n’écrit jamais l’entrée de journalisation avec la catégorie de détection en temps réel pour le trafic lorsqu’il envoie simplement la requête au serveur de filtrage avancé URL pour valider le verdict du site.