Las entradas de registro muestran una amenaza ID de 12000000

Las entradas de registro muestran una amenaza ID de 12000000 - ¿Qué significa esto?

23946

Created On 10/29/20 13:43 PM - Last Modified 07/29/25 21:30 PM

Symptom

La información de búsqueda en threat vault for threat ID 120000000 vuelve vacía con el mensaje "No se encuentran datos basados en tu búsqueda, busca algo más".
No se pueden crear excepciones de amenaza para la amenaza ID 120000000.
El Firewall perfil Anti-spyware bloquea DNS las consultas para resolver dominios sospechosos, por lo tanto, no se concede acceso a lo URL previsto.

Los registros de amenazas mostrarán la acción "Sumidero" cuando se seleccione esa acción para DNS Firmas en el perfil antispyware.

Environment

Palo Alto Firewall .
Cualquier PAN-OS archivo .
Firma de amenaza.

Cause

Amenaza ID 12000000 es un número reservado TID que identificará globalmente cualquier dominio que se abren paso a través de un EDL dominio personalizado (Lista de dominio externo) de tipo que no se está abasteciendo de un dispositivo Palo Alto. Esto significa que hay una lista de dominio externo ( EDL ) de dominio de tipo agregado al perfil antispyware que enumera el dominio para el que se activó la firma.

Resolution

Si tiene acceso para editar el contenido de la lista dinámica externa, quite la entrada de dominio bloqueada notificada en los registros
Si no hay acceso para modificar el EDL motivo porque procede de un origen de terceros, puede crear una exclusión local en el archivo firewall . Esto le da la opción de aplicar policy algunas (pero no todas) de las entradas de la lista.
Identifique el perfil antispyware asociado a la regla de seguridad que aplica el DNS tráfico que se bloquea.
Identifique los EDL agregados en el perfil Anti-spyware. GUI: Objetos > Perfiles de seguridad >La > firmas de spyware DNS >External Listas Dinámicas
Excluya las entradas necesarias de la dinámica externa.

Additional Information