很少看到具有实时检测类别的日志条目。
8544
Created On 07/30/21 01:37 AM - Last Modified 04/22/24 20:28 PM
Symptom
- 客户确认, firewall 具有高级 URL 筛选有效许可证订阅的他/她在访问 https://docs.paloaltonetworks.com/ pan-os /10-1/ -admin/url-filtering/enable-advanced-url-filtering/verify-advanced-url-filtering.html 中提到的测试站点时,能够正常工作并生成具有实时检测类别的记录条目 pan-os
- 客户看到,他/她 firewall 与高级 URL 过滤有效许可证订阅经常接收与下列风险类别相关的流量的行为,但与下列风险类别相关的流量尚未记录具有实时检测类别的登录条目。
- 高级 URL 过滤将用于 PANDB URL 下面列出的风险类别的过滤。
-未知-中等风险
-可疑
-停泊
-网络托管
-内容不足
-共享软件和免费软件
-动态 DNS
-新注册域名
- 客户期望,每当 firewall 具有高级 URL 过滤有效许可证订阅的处理与上述列出的风险过滤类别相关的流量时,就会看到具有实时检测类别的无记录条目 PANDB URL 。
Environment
- 高级 URL 过滤
- PANOS 9。8
- PANOS 10.0
- PANOS 10.1
Cause
- 当 firewall 具有高级 URL 过滤有效许可证订阅处理上述列出的风险类别之一的 PANDB URL 过滤流量时,它会将查询发送到高级 URL 过滤服务器以验证站点的判决。 如果高级 URL 过滤服务器为有关风险类别提供"Benign"判决,并且 firewall 成功接收该类别,则 firewall 记录条目为流量编写具有一般 PANDB 风险类别的记录条目。由于风险类别被高级 URL 过滤服务器识别为"Benign"。 如果高级 URL 过滤服务器为有关风险类别提供"恶意软件"或"命令与控制"或"网络钓鱼"或"灰器",则 firewall 记录条目为流量编写实时检测类别。firewall当记录条目仅将查询发送到高级 URL 过滤服务器以验证站点的判决时,永远不会为流量编写带有实时检测类别的日志条目。