Wie verhalten sich IP Adressen/S unter IP- "Adressausnahmen" für Spyware/Bedrohungsausnahme?
29059
Created On 07/16/20 04:11 AM - Last Modified 11/01/23 19:25 PM
Question
Wie verhalten sich IP Adressen/S unter IP- "Adressausnahmen" für Spyware/Bedrohungsausnahme mit geänderter Signaturaktion?
Wenn eine IP Adresse unter der Registerkarte IP "Adressausnahmen" hinzugefügt wird, wird allgemein davon ausgegangen, dass Datenverkehr, der mit IPs übereinstimmt, von der geänderten Aktion in dieser Bedrohungs- oder Spyware-Signatur ausgenommen ist. In Wirklichkeit wird die Änderung der Bedrohungs-/Spware-Signatur auf diese IpP angewendet, die nicht
Environment
- All PAN-OS
- Palo Alto Firewall .
- Anti-Spyware oder Bedrohungprofil konfiguriert.
Answer
Wenn eine IP Adresse unter der Registerkarte IP "Adressausnahmen" hinzugefügt wird, wird allgemein davon ausgegangen, dass Datenverkehr, der mit IPs übereinstimmt, von der geänderten Aktion in dieser Bedrohungs- oder Spyware-Signatur ausgenommen ist. In Wirklichkeit wird die Änderung der Bedrohungs-/Spyware-Signatur auf diese Ip-Nachrichten angewendet, die nicht
- A Die Bedrohungsausnahme wurde unter profile->vulnerbility->-Ausnahme erstellt, um die in der Sicherheitsregel definierten Standardaktionen oder -aktionen zu überschreiben. Und dieses geänderte Verhalten gilt für jeden übereinstimmenden Datenverkehr.
- In einigen Fällen möchten Sie diese Ausnahme nur für wenige Adressen anwenden IP und die Standard- oder konfigurierten Aktionen für den Rest des Datenverkehrs beibehalten, Sie können IPs unter der IP Registerkarte "Adressausnahmen" hinzufügen. Auf diese Weise können Sie dasselbe Sicherheitslückenprofil verwenden, aber zwei unterschiedliche Verhaltensweisen basierend auf Quelle oder Ziel IP haben.
- Sie können bis zu 100 IPs pro Signatur hinzufügen, und diese IP Adressen können Quell-/Ziel-IPs sein.
- Diese Funktionalität wird häufig fälschlicherweise als "IPs unter der IP Registerkarte Ausnahme werden vom geänderten Verhalten ausgenommen" wahrgenommen, im Gegensatz dazu gilt das neue Verhalten nur für diese IPs, während jeder andere Datenverkehr ausgenommen wird.
- Beispiel:
- Ihre Richtlinien für die Signatur ihres Bedrohungsprofils, die so konfiguriert sind, dass sie sowohl für alle Signaturen mit kritischem, hohem als auch mittlerem Schweregrad zurückgesetzt werden. Das bedeutet, dass jede Spyware-Signatur, die diesen Kriterien entspricht, eine Aktion hat, "reset-both".
- Jetzt fügen wir eine Ausnahme in der Bedrohungssignatur hinzu und haben Standardaktionen als Warnung durchgeführt. Fügen Sie dies auch nur für eine IP hinzu - 192.168.1.10
- Aus den Bedrohungsprotokollen können wir sehen, dass der Datenverkehr von 192.168.1.10 als "Alert" verwendet wird, während die gleiche Art von Datenverkehr ab 172.168.1.10 "Reset-Both" ist.