So verringern Sie einen Anstieg des unknown-tcp- oder unknown-udp-Datenverkehrs

17723

Created On 01/11/24 21:16 PM - Last Modified 02/02/24 05:44 AM

Objective

Um einen ungewöhnlichen Anstieg des Datenverkehrs mit der Anwendung unknown-tcp oder unknown-udp in den Datenverkehrsprotokollen zu verringern.

Überprüfen Sie die Systemprotokolle der Firewall: MONITOR> Logs> Traffic, und verwenden Sie den Suchfilter ( app eq 'unknown-tcp' ) oder (app eq 'unknown-udp'). Definieren Sie den Datenverkehr, dessen Anwendung nicht von der Firewall identifiziert wurde (Bestimmen Sie die Quellzone, die Quell-IP-Adresse, die Zielzone, die Ziel-IP-Adresse, den Zielport usw.).
Wenn die Anwendung des definierten Datenverkehrs zuvor von der Firewall ordnungsgemäß erkannt wurde und dann plötzlich nicht mehr erkannt wurde:
1. Überprüfen Sie, ob der Inhalt oder die Anwendungsversion auf Ihrer Firewall auf dem neuesten Stand ist: GERÄT> Dynamische Updates dann:
  1. Anwendung und Bedrohungen (für Firewalls, auf denen eine gültige Lizenz für die Bedrohungsabwehr installiert ist)
  2. Anwendung (für Firewalls ohne Threat Prevention-Lizenz ).
2. Wenn Sie den Inhalt oder die Anwendungsversion aktualisieren müssen, lesen Sie den Artikel Installieren von Inhaltsupdates.
3. Melden Sie eine falsche Identifizierung einer Anwendung.
Wenn die Anwendung des definierten Datenverkehrs nie von der Firewall erkannt wurde, dann je nach Anwendungsfall:
1. Erstellen einer Kundenanwendung für diesen Datenverkehr Weitere Informationen finden Sie unter Pro-Tipps: Unbekannte Anwendungen und wie Sie eine Anwendungsüberschreibung für diesen Datenverkehr erstellen.
2. Fordern Sie eine neue App-ID von Palo Alto Networks für seinen Datenverkehr an.