docs.google.com などの主要なサイトがURLカテゴリ「未解決」でブロックされる

• 重要なサイトがブロックされ、URL カテゴリが「未解決」と表示される
• トラフィック ログに、URL カテゴリが「未解決」であるためにブロックされた複数の Google ドキュメント ドメインが記録されている
• PAN-DB への接続が成功しました。

  admin@cpe-14-98-vm-lma> show url-cloud status
  PAN-DB URL Filtering
  License :                          valid
  Current cloud server :             serverlist.urlcloud.paloaltonetworks.com
  Cloud connection :                 connected
  Cloud mode :                       public
  URL database version - device :    20200624.20296
  URL database version - cloud :     20200624.20296  ( last update time 2020/06/24 12:39:19 )
  URL database status :              good
  URL protocol version - device :    pan/2.0.0
  URL protocol version - cloud :     pan/2.0.0
  Protocol compatibility status :    compatible

• プリズマアクセス
• PAN-OS 10.2.4
• URL フィルタリング
• PAN-DBクラウド

• 親ドメインでバージョンが頻繁に変更されると、ドメイン ツリーの削除がトリガーされ、URL キャッシュからドメインが削除され、URL カテゴリが未解決になります。
• 次の CLI コマンドを実行すると、ドメインのバージョンが頻繁に変更されることがわかります。

admin@cpe-14-98-vm-lma> show running url-info docs.google.com 
docs.google.com, phm 1, ttl 0, flags 0x3, version 227 

admin@cpe-14-98-vm-lma> show running url-info docs.google.com 
docs.google.com, phm 1, ttl 287, flags 0x3, version 18 

admin@cpe-14-98-vm-lma> show running url-info docs.google.com 
docs.google.com, phm 1, ttl 279, flags 0x3, version 19,

回避策:

1. カスタム URL カテゴリを作成する
2. 未解決の親ドメイン(docs.google.com など)を使用してカスタムURLカテゴリを構成する
3. アクションをアラートに設定すると、docs.google.com トランザクションをブロックせずに監視できます。
4. [OK]をクリックします
5. カスタム URL カテゴリをセキュリティ ポリシーに適用します (「カスタム URL カテゴリの作成方法」を参照)。
6. 変更のコミット