ログ エントリは ID 12000000 の脅威を示しています - これはどういう意味ですか?

ログ エントリは ID 12000000 の脅威を示しています - これはどういう意味ですか?

23944
Created On 10/29/20 13:43 PM - Last Modified 07/29/25 21:30 PM


Symptom


  • 脅威の検索の情報 ID 12000000 は、「検索に基づいてデータが見つかりません、他のものを検索してください」というメッセージと空を返します。
  • 脅威 ID 12000000 の脅威例外は作成できません。
  • Firewallスパイウェア対策プロファイルは DNS 、不審なドメインを解決するためのクエリをブロックするため、意図したドメインへのアクセス URL は許可されません。
      ユーザー追加イメージ
  • 脅威ログには、 DNS アンチスパイウェアプロファイルの[署名]に対してアクションが選択されると、アクション"Sinkhole"が表示されます。

      ユーザー追加イメージ

 

Environment


  • パロ アルト Firewall .
  • 任意 PAN-OS の .
  • 脅威の署名。

Cause


Threat ID 12000000 は、 TID EDL パロアルトデバイスから調達していないタイプのドメインのカスタム(外部ドメインリスト)を通じてドメインをグローバルに識別する予約番号です。 つまり、 EDL 署名がトリガされたドメインを一覧表示するタイプのドメイン () がアンチスパイウェアプロファイルに追加されます。

Resolution


  1. 外部動的リストの内容を編集するアクセス権がある場合は、ログに報告されたブロックされたドメインエントリを削除します。
  2. EDLサードパーティのソースから取得されているために変更するアクセス権がない場合は、 でローカル除外を作成できます firewall 。 これにより、 policy リスト内のエントリの一部 (すべてではなく) に適用するオプションが提供されます。
  3. ブロックされるトラフィックを強制するセキュリティルールに関連付けられているスパイウェア対策プロファイルを特定 DNS します。
  4. スパイウェア対策プロファイルに追加された EDL を特定します。 GUI: オブジェクト >セキュリティ プロファイル >アンチスパイウェア> DNS シグネチャ>外部動的リスト
  5. 必要なエントリを外部動的から除外します。
       ユーザー追加イメージ

 

Additional Information


外部動的リストからのエントリの除外
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HBOoCAO&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language