如何设置基于安全第一或任务关键型的第一个应用程序/威胁内容更新的阈值时间
21559
Created On 10/16/20 17:53 PM - Last Modified 08/11/25 18:29 PM
Objective
在单个内容更新包中传递新应用程序和威胁签名时,可能会具有新的应用程序或可以匹配自定义应用程序之一,并且新的威胁签名可能与良性流量匹配。本文介绍了减少网络中可能的误报的最佳策略。
Environment
- 帕洛阿尔托 Firewall .
- 一个尼 PAN-OS
- 内容更新。
Procedure
应用程序和威胁更新可以在不同的时间安装,尽管它们已在同一包上交付。 组织可分为"安全第一"或"关键任务"。
有一些常见做法应按如下方式适用。
- 查看新应用和威胁的内容发行说明。 使用时间 GUI : 设备>动态更新>(选择威胁版本),然后单击发布说明
- 发行说明提供有关新识别和修改的应用程序和威胁签名的信息。 这可能会影响现有的安全策略。
- 查看修改安全性以 policy 充分利用新保护的建议。
- 转到客户支持门户并订阅内容更新电子邮件。
安全 优先组织 将优先保护而不是应用程序,第一个优先级是攻击防御。
- 如果可能,请错开新内容的推出。 如果您 Firewall 在用户较少或业务风险较小的位置,在该位置安装新内容并进行监控。
- 检查可能影响连接的新威胁签名,如身份验证、暴力强制签名。
- 您可以安排内容更新"下载和安装",在内容安装前最多 6到 12 小时设置阈值。
- 尽快安装 911 内容。
- 一旦您识别了 App-ID,创建一个安全 policy 规则,以允许关键任务的应用 ID,如身份验证、更新、应用程序更新。 请参阅确保允许新的关键应用程序。
- 为新的应用 ID 在关键类别中创建应用程序筛选器。 使用此应用程序过滤器在您的安全 policy 规则与适当的行动。
- 您可以自动安排内容更新"下载和安装",在内容安装前24 到 48 小时设置阈值。