IPスパイウェア/脅威の例外に対してアドレス/s が 「アドレス除外」の下に追加された場合 IP- の動作は何ですか?
29055
Created On 07/16/20 04:11 AM - Last Modified 11/01/23 19:25 PM
Question
IP IP- 署名のアクションが変更されたスパイウェア/脅威の例外に対してアドレス/s が "アドレス免除" の下に追加された場合の動作は何ですか?
アドレスが IP [ IP アドレス例外] タブに追加された場合、IP に一致するトラフィックは、その脅威またはスパイウェアの署名で変更されたアクションから除外されるという一般的な前提事項です。 実際には、脅威/spwareシグネチャの変更は、除外されていないこれらのIPに適用されます
Environment
- すべて PAN-OS
- パロ アルト Firewall .
- スパイウェア対策プロファイルまたは脅威プロファイルが構成されています。
Answer
アドレスが IP [ IP アドレス例外] タブに追加された場合、IP に一致するトラフィックは、その脅威またはスパイウェアの署名で変更されたアクションから除外されるという一般的な前提事項です。 実際には、脅威/スパイウェアの署名の変更は、除外されていないこれらのIPに適用されます
- A セキュリティ規則で定義された既定のアクションまたはアクションを上書きするために、プロファイル>加える可能性>例外の下に脅威の例外が作成されました。 この変更された動作は、一致するトラフィックすべてに適用されます。
- ここで、この例外を少数のアドレスに適用 IP し、残りのトラフィックに対して既定のアクションまたは構成済みのアクションを保持する場合は、[アドレス例外] タブの下に IP を追加 IP できます。 これにより、同じ脆弱性プロファイルを使用できますが、送信元または宛先に基づく 2 つの異なる動作 IP を使用できます。
- 署名ごとに最大 100 個の IP を追加でき、これらの IP アドレスは送信元/宛先 IP にすることができます。
- この機能は、多くの場合、「例外タブの下の IP は IP 変更された動作から除外されます」と誤って認識されますが、新しい動作はこれらの IP にのみ適用され、他のすべてのトラフィックは除外されます。
- 例:
- 重大度、高、および中レベルのすべての署名に対してリセットするように構成された脅威プロファイルの署名ポリシー。 つまり、これらの条件に一致するスパイウェアの署名には、アクションが"リセット-両方"になります。
- 次に、脅威のシグネチャに例外を追加し、アラートとして既定のアクションを行いました。 また、1つの場合にのみこれを追加する IP - 192.168.1.10
- 脅威ログから、192.168.1.10 からのトラフィックは「アラート」として動作し、172.168.1.10 からの同じ種類のトラフィックは「両方リセット」であることがわかります。