Wie verhalten sich IP Adressen/S unter IP- "Adressausnahmen" für Spyware/Bedrohungsausnahme?

Wie verhalten sich IP Adressen/S unter IP- "Adressausnahmen" für Spyware/Bedrohungsausnahme?

19641
Created On 07/16/20 04:11 AM - Last Modified 11/01/23 19:25 PM


Question



Wie verhalten sich IP Adressen/S unter IP- "Adressausnahmen" für Spyware/Bedrohungsausnahme mit geänderter Signaturaktion?
Wenn eine IP Adresse unter der Registerkarte IP "Adressausnahmen" hinzugefügt wird, wird allgemein davon ausgegangen, dass Datenverkehr, der mit IPs übereinstimmt, von der geänderten Aktion in dieser Bedrohungs- oder Spyware-Signatur ausgenommen ist. In Wirklichkeit wird die Änderung der Bedrohungs-/Spware-Signatur auf diese IpP angewendet, die nicht


 

Environment


  • All PAN-OS
  • Palo Alto Firewall .
  • Anti-Spyware oder Bedrohungprofil konfiguriert.

 

Answer


Wenn eine IP Adresse unter der Registerkarte IP "Adressausnahmen" hinzugefügt wird, wird allgemein davon ausgegangen, dass Datenverkehr, der mit IPs übereinstimmt, von der geänderten Aktion in dieser Bedrohungs- oder Spyware-Signatur ausgenommen ist. In Wirklichkeit wird die Änderung der Bedrohungs-/Spyware-Signatur auf diese Ip-Nachrichten angewendet, die nicht
  • A Die Bedrohungsausnahme wurde unter profile->vulnerbility->-Ausnahme erstellt, um die in der Sicherheitsregel definierten Standardaktionen oder -aktionen zu überschreiben. Und dieses geänderte Verhalten gilt für jeden übereinstimmenden Datenverkehr.
  • In einigen Fällen möchten Sie diese Ausnahme nur für wenige Adressen anwenden IP und die Standard- oder konfigurierten Aktionen für den Rest des Datenverkehrs beibehalten, Sie können IPs unter der IP Registerkarte "Adressausnahmen" hinzufügen. Auf diese Weise können Sie dasselbe Sicherheitslückenprofil verwenden, aber zwei unterschiedliche Verhaltensweisen basierend auf Quelle oder Ziel IP haben.
Benutzeriertes Bild
  • Sie können bis zu 100 IPs pro Signatur hinzufügen, und diese IP Adressen können Quell-/Ziel-IPs sein.
  • Diese Funktionalität wird häufig fälschlicherweise als "IPs unter der IP Registerkarte Ausnahme werden vom geänderten Verhalten ausgenommen" wahrgenommen, im Gegensatz dazu gilt das neue Verhalten nur für diese IPs, während jeder andere Datenverkehr ausgenommen wird.
  • Beispiel:
    • Ihre Richtlinien für die Signatur ihres Bedrohungsprofils, die so konfiguriert sind, dass sie sowohl für alle Signaturen mit kritischem, hohem als auch mittlerem Schweregrad zurückgesetzt werden. Das bedeutet, dass jede Spyware-Signatur, die diesen Kriterien entspricht, eine Aktion hat, "reset-both".
Benutzeriertes Bild
 
  • Jetzt fügen wir eine Ausnahme in der Bedrohungssignatur hinzu und haben Standardaktionen als Warnung durchgeführt. Fügen Sie dies auch nur für eine IP hinzu - 192.168.1.10
Benutzeriertes Bild
 
  • Aus den Bedrohungsprotokollen können wir sehen, dass der Datenverkehr von 192.168.1.10 als "Alert" verwendet wird, während die gleiche Art von Datenverkehr ab 172.168.1.10 "Reset-Both" ist.
Benutzeriertes Bild
 


 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UscCAE&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language