Comment atténuer une augmentation du trafic unknown-tcp ou unknown-udp
17725
Created On 01/11/24 21:16 PM - Last Modified 02/02/24 05:44 AM
Objective
- Pour atténuer une augmentation anormale du trafic avec l’application unknown-tcp ou unknown-udp dans les journaux de trafic.
Environment
- Pare-feu nouvelle génération
- inconnu-tcp
- unknow-udp (en anglais seulement)
Procedure
- Inspectez les journaux système du pare-feu : MONITOR> Logs> Traffic et utilisez le filtre de recherche ( app eq 'unknown-tcp' ) ou (app eq 'unknown-udp'). Définir le trafic dont l’application n’a pas été identifiée par le firewall (Déterminer sa Zone Source, son adresse IP Source, sa Zone de Destination, son Adresse IP de Destination, son Port de Destination, etc...).
- Si l’application du trafic défini était auparavant correctement identifiée par le pare-feu, puis a soudainement cessé d’être reconnue :
- Vérifiez si le contenu ou la version de l’application est à jour sur votre firewall : DEVICE> Mises à jour dynamiques puis :
- Application et menaces (pour les pare-feu sur lesquels une licence Threat Prevention valide est installée)
- Application (pour les pare-feu sans licence de protection contre les menaces ).
- Si vous avez besoin de mettre à jour le contenu ou la version de l’application, reportez-vous à la section Installer les mises à jour de contenu.
- Signaler une erreur d’identification d’une demande.
- Vérifiez si le contenu ou la version de l’application est à jour sur votre firewall : DEVICE> Mises à jour dynamiques puis :
- Si l’application du trafic défini n’a jamais été reconnue par le firewall alors selon le cas utilisé :
- Créer une application client pour ce trafic, reportez-vous à Conseils de pro : Applications inconnues et à la création d’un remplacement d’application pour ce trafic.
- Demander un nouvel identifiant d’application à Palo Alto Networks pour son trafic.