Quel est le comportement lorsque IP l’adresse / s sont ajoutés sous IP- « adresse-exemptions » pour les logiciels espions / exception de menace?

Quel est le comportement lorsque IP l’adresse / s sont ajoutés sous IP- « adresse-exemptions » pour les logiciels espions / exception de menace?

19645
Created On 07/16/20 04:11 AM - Last Modified 11/01/23 19:25 PM


Question



Quel est le comportement lorsque IP l’adresse /s sont ajoutées sous IP- « exemptions d’adresse » pour les logiciels espions / menace exception avec action de signature modifiée?
IP Lorsqu’une adresse est ajoutée sous l’onglet « exceptions IP d’adresse », l’hypothèse commune est que tout trafic qui correspond aux ADRESSES IP est exempté de l’action modifiée dans cette menace ou signature de logiciel espion. En réalité, la modification de la signature menace/spware s’appliquera à ces


 

Environment


  • Unll PAN-OS
  • Palo Alto Firewall .
  • Profil anti-spyware ou threat configuré.

 

Answer


IPLorsqu’une adresse est ajoutée sous l’onglet « exceptions IP d’adresse », l’hypothèse commune est que tout trafic qui correspond aux ADRESSES IP est exempté de l’action modifiée dans cette menace ou signature de logiciel espion. En réalité, la modification de la signature menace/spyware s’appliquera à ces
  • A l’exception de menace a créé sous profil->vulnerbility-> exception pour écraser les actions par défaut ou l’action définie dans la règle de sécurité. Et ce comportement modifié s’appliquera à tous les trafics correspondants.
  • Maintenant, dans certains cas, vous souhaitez appliquer cette exception pour seulement quelques IP adresses et garder les actions par défaut ou configurées pour le reste du trafic, vous pouvez ajouter des ADRESSES IP sous l’onglet IP « exceptions d’adresse ». Cela vous permet d’utiliser le même profil de vulnérabilité, mais ont deux comportements différents basés sur la source ou la destination IP .
Image ajoutée par l'utilisateur
  • Vous pouvez ajouter jusqu’à 100 ADRESSES IP par signature, et ces IP adresses peuvent être des adresses IP source/destination.
  • Cette fonctionnalité est souvent perçue à tort comme « IPs sous IP l’onglet exception sera exempté du comportement modifié, en revanche, le nouveau comportement ne s’appliquera qu’à ces ADRESSES, tandis que tous les autres trafics seront exemptés.
  • Exemple:
    • Vos stratégies de signature de profil de menace qui sont configurées pour réinitialiser à la fois pour toutes les signatures dont la gravité est critique, élevée et moyenne. Cela signifie que toute signature de spyware qui correspond à ces critères aura une action est « réinitialiser les deux ».
Image ajoutée par l'utilisateur
 
  • Maintenant, nous ajoutons une exception dans la signature de la menace et fait une action par défaut comme une alerte. Aussi, ajouter cela seulement pour un IP - 192.168.1.10
Image ajoutée par l'utilisateur
 
  • D’après les journaux de menace, nous pouvons voir le trafic du 192.168.1.10 a action comme « alerte » tandis que le même type de trafic à partir de 172.168.1.10 est « réinitialiser les deux ».
Image ajoutée par l'utilisateur
 


 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UscCAE&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language