Adage sélectif des journaux à WildFire partir de Firewall l’utilisation du profil de forwarding de journal

Adage sélectif des journaux à WildFire partir de Firewall l’utilisation du profil de forwarding de journal

14182
Created On 08/22/20 15:49 PM - Last Modified 03/26/21 18:34 PM


Objective


Lorsqu’un firewall e-mail est configuré pour envoyer une notification par WildFire e-mail pour les soumissions, parfois ces e-mails peuvent être accablants pour un administrateur. Dans ce cas, les IT administrateurs peuvent aimer supprimer certaines des alertes e-mail tout en continuant à recevoir d’autres journaux. Par exemple, un IT administrateur peut préférer recevoir toutes les WildFire alertes à l’exception des WildFire alertes de lien électronique.

Cet exemple peut être utilisé pour n’importe quel type de déconnectage sélectif, comme vous avez seulement besoin de journaux de menaces pour l’action de drop et tous les autres journaux à transmettre à la panorama .

Environment


  • Tous PAN-OS 
  • WildFire Licence

Procedure


Dans cet article, nous avons utilisé l’exemple WildFire de journal et de lien électronique, cependant, la même méthode peut être utilisée pour n’importe quelle sélection de journaux.
1.Créer un profil de forwarding journal.
2.Go à objets->Log forwarding ->créer un nouveau profil, et remplir le nom tel que « Partielle-email-forwarding »
3.Now cliquez sur le bouton « Ajouter » à la gauche en bas >fill dans le nom. Dans la photo suivante, le nom est « email-links », sélectionnez le « Log Type » comme wildfire « et sur Filter sélectionnez « Filter Builder »
sélectionnez le type de journal
2. Lorsque vous sélectionnez le « Filter-builder », et une nouvelle fenêtre s’ouvre qui vous permettra de construire votre propre filtre. Dans ce cas, I ont sélectionné « app » -> SMTP , filetype -> e-mail-lien. Vous pouvez ajouter d’autres filtres basés sur des Wildfire journaux ou d’autres données.
 sélection de filtres pour filter builder
3. Sautez la sélection de toute « méthode avancée » pour ce filtre.
           Image ajoutée par l'utilisateur
4.Now ajouter des profils supplémentaires pour le déconnectage en fonction de vos besoins.
5.Si vous n’avez pas créé un profil d’email, svp créez un. Plus d’informations peuvent être trouvées ici.
      sélectionnez d’autres types de journaux
6. Sélectionnez le type de journaux désiré et ajoutez le profil de envoi du journal des e-mails.
7.For permettant à tous les autres journaux WildFire de , sauf le lien e-mail, créer un nouveau profil avec l’état négatif de la précédente. Par exemple, sélectionnez Filter->pas (((app SMTP eq) et (filetype eq email-link) et sélectionnez sur la méthode de transfert sur le profil e-mail.
  Image ajoutée par l'utilisateur
8. La configuration finale sera la suivante.
Image ajoutée par l'utilisateur
9. Utilisez maintenant le profil de déconnectage dans votre sécurité policy .
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HATnCAO&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language