Die Log-Einträge zeigen eine Bedrohung ID von 12000000 - Was bedeutet das?

Die Log-Einträge zeigen eine Bedrohung ID von 12000000 - Was bedeutet das?

23966
Created On 10/29/20 13:43 PM - Last Modified 07/29/25 21:30 PM


Symptom


  • Suchinformationen im Threat Vault für Bedrohung ID 12000000 gibt leer mit der Meldung "Keine Daten werden basierend auf Ihrer Suche gefunden, bitte suchen Sie nach etwas anderem".
  • Bedrohungsausnahmen für Bedrohung ID 12000000 können nicht erstellt werden.
  • Das Firewall Anti-Spyware-Profil blockiert DNS Abfragen, um verdächtige Domänen aufzulösen, daher wird der Zugriff auf die beabsichtigten URL Domänen nicht gewährt.
      Benutzeriertes Bild
  • In DenBedrohungsprotokollen wird die Aktion "Sinkhole" angezeigt, wenn diese Aktion für DNS Signaturen im Anti-Spyware-Profil ausgewählt ist.

      Benutzeriertes Bild

 

Environment


  • Palo Alto Firewall .
  • Jede PAN-OS .
  • Bedrohungssignatur.

Cause


Threat ID 12000000 ist eine reservierte Nummer, die alle Domänen, die TID ihren Weg in durch eine benutzerdefinierte EDL (Externe Domänenliste) vom Typ Domäne, die nicht von einem Palo Alto-Gerät bezieht, ihren Weg in machen wird, global identifiziert. Dies bedeutet, dass dem Anti-Spyware-Profil eine externe Domänenliste ( ) vom Typ "Domain" hinzugefügt wurde, EDL die die Domäne auflistet, für die die Signatur ausgelöst wurde.

Resolution


  1. Wenn Sie Zugriff darauf haben, den Inhalt der externen dynamischen Liste zu bearbeiten, entfernen Sie den in den Protokollen gemeldeten gesperrten Domäneneintrag.
  2. Wenn kein Zugriff zum Ändern der EDL besteht, da sie von einer Drittanbieterquelle stammt, können Sie einen lokalen Ausschluss im firewall erstellen. Dadurch haben Sie die Möglichkeit, policy einige (aber nicht alle) Einträge in der Liste zu erzwingen.
  3. Identifizieren Sie das Anti-Spyware-Profil, das an die Sicherheitsregel angefügt ist, die den DNS blockierten Datenverkehr erzwingt.
  4. Identifizieren Sie die im Anti-Spyware-Profil hinzugefügten EDLs. GUI: Objekte >Sicherheitsprofile >Anti-Spyware-> DNS Signaturen >Externe dynamische Listen
  5. Schließen Sie die erforderlichen Einträge aus der externen Dynamik aus.
       Benutzeriertes Bild

 

Additional Information


Einträge aus einer externen dynamischen Liste ausschließen
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HBOoCAO&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language