日志条目显示 ID 12000000 的威胁 - 这是什么意思?

日志条目显示 ID 12000000 的威胁 - 这是什么意思?

23932
Created On 10/29/20 13:43 PM - Last Modified 07/29/25 21:30 PM


Symptom


  • 在威胁库中查找威胁 ID 12000000 的信息返回空,邮件"根据您的搜索找不到任何数据,请搜索其他内容"。
  • ID无法创建威胁 12000000 的威胁例外。
  • Firewall反间谍软件配置文件阻止 DNS 查询以解决可疑域,因此,不授予对目标域的访问 URL 权限。
      用户添加的图像
  • 当该操作被选中用于 DNS 反间谍软件配置文件中的签名时,威胁日志将显示行动"沉井"。

      用户添加的图像

 

Environment


  • 帕洛阿尔托 Firewall .
  • 任何 PAN-OS .
  • 威胁签名。

Cause


威胁 ID 1200000 是一个保留 TID 号码,将在全球范围内识别任何通过 EDL 自定义(外部域名列表)进入的类型域名(外部域名列表),该域名不是从 Palo Alto 设备采购的。 这意味着在 EDL 反间谍软件配置文件中添加了类型域的外部域名列表 (),该表单列出了触发签名的域名。

Resolution


  1. 如果您有权访问编辑外部动态列表的内容,请删除日志中报告的阻止域条目
  2. 如果没有访问修改, EDL 因为它来自第三方来源,您可以创建一个本地排除 firewall 。 这为您提供了 policy 对列表中某些(但不是全部)条目的执行选项。
  3. 识别附加到执行被阻止流量的安全规则中的反间谍软件配置文件 DNS 。
  4. 标识在反间谍软件配置文件中添加的 EDL。 GUI: 对象>安全配置文件>反间谍软件> DNS 签名>外部动态列表
  5. 将所需条目排除在外部动态之外。
       用户添加的图像

 

Additional Information


排除外部动态列表中的条目
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HBOoCAO&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language