Konfigurieren des Neuauslösers für die Protokollweiterleitung für E-Mail-Warnungen

Konfigurieren des Neuauslösers für die Protokollweiterleitung für E-Mail-Warnungen

13528
Created On 12/18/20 21:22 PM - Last Modified 07/21/21 19:08 PM


Symptom


Das Protokollweiterleitungsprofil generiert mehrere E-Mail-Warnungen für denselben Ereignistyp, was zu einer E-Mail-Flut für denselben Ereignistyp führen kann.

Environment


  • Palo Alto Networks Firewall
  • PAN-OS >= 9,0

Cause


Die firewall kann die Anzahl der Bedrohungserkennungsereignisse auf ein gewisses Maß mit Protokollunterdrückungbegrenzen, dies reicht jedoch nicht aus, um Warnungen zu begrenzen, die möglicherweise erweiterte Re-Trigger-Timer wie E-Mail-Warnungen erfordern.

Resolution


Beispiel: Implementieren eines 5-minütigen Re-Trigger-Timers für E-Mail-Benachrichtigungen im Zusammenhang mit FTP Brute-Force-Versuchen. Die FTP Brute Force-Versuche werden für eine Block-IP-Aktion von 1 Minute konfiguriert, aber es wird nur eine E-Mail-Warnung alle 5 Minuten gewünscht.

Schritt 1) Suchen Sie den Policy Sicherheitsnamen, der dem Ereignis entspricht, das wir vorübergehend unterdrücken möchten, indem Sie zusätzliche E-Mail-Benachrichtigungen generieren. In unserem Beispiel möchten wir E-Mail-Benachrichtigungen für 5 Minuten für Brute-Force-Signaturen unterdrücken.
Identifizieren Sie die Policy Sicherheit, die derzeit mit dem interessanten Datenverkehr übereinstimmt.

Schritt 2) Öffnen Sie die Detailprotokollansicht, indem Sie auf das Lupensymbol links neben dem Protokolleintrag klicken, und identifizieren Sie den Namen des verwendeten Protokollweiterleitungsprofils.
Identifizieren des Profilnamens für die Protokollweiterleitung

Schritt 3) Klonen Sie das Protokollweiterleitungsprofil, das verwendet wird. Verketten Sie "Cool off" oder einen anderen beschreibenden Namen, um den Klon zu identifizieren.
Klonen Sie das E-Mail-Protokollweiterleitungsprofil.

Schritt 4) Gehen Sie zu Objekte > Tags > hinzufügen.In unserem Beispiel erstellen wir einen tag benannten "brute-force"
Brute-Force erstellen Tag

Schritt 5) Erstellen Sie eine dynamische Adressgruppe unter Objekte > Adressgruppen > klicken Sie auf Hinzufügen. Definieren Sie einen Namen, Übereinstimmungsbedingung (sollte mit dem Tag in Schritt 2 erstellten Namen übereinstimmen) und auch Tag das Objekt, das in Schritt 2 erstellt Tag wurde.
Dynamische Adressgruppe erstellen

Schritt 6) Klonen Sie die aktuelle Policy Sicherheit, die abgeglichen wird, um ihr voranzugehen. Sie können einen beschreibenden Namen wie Cool-off verketten.
Klonsicherheit, Policy um der aktuell übereinstimmenden Regel voranzufahren
Die resultierenden Richtlinien sollten wie folgt aussehen:
Benutzeriertes Bild
Schritt 7) Definieren Sie die Quelladresse, um die in Schritt 5 erstellte dynamische Adressgruppe zu verwenden.
Sicherheit bearbeiten Policy

Schritt 8) Gehen Sie zur Registerkarte Aktionen und definieren Sie den Weiterleitungsprofilklon an die Sicherheit Policy .
Ändern der Policy definierten Protokollweiterleitung der Sicherheit in den neuen Klon

Schritt 9) Bearbeiten Sie das ursprüngliche Protokollweiterleitungsprofil.
In unserem Beispiel
schließen wir: Kategorie-der-Threatid-Brute-Force aus, indem sie Folgendes an den Filter anhängen: (category-of-threatid neq brute-force).Beachten Sie, dass "brute-force" Teil der Signaturmetadaten ist und die Groß-/Kleinschreibung beachtet wird, verwenden Sie alle Kleinbuchstaben.
Erstellen Sie eine neue Log Forwarding Profile Match List mit dem Namen " Tag to Cool Off"
Original-Protokollweiterleitungsprofil bearbeiten
Neu Tag erstellt, um sich abzukühlen
Step 10) Erstellen Sie eine integrierte Aktion für die neu erstellte Log Forwarding Profile Match List.
Dies kann für Tag die Quelle, das Ziel, den Benutzer oder konfiguriert XFF IP werden.
Aktion konfigurieren: Tag
Registrierung hinzufügen: Lokales Benutzer-Timeout ID
(min), um anzugeben, wie lange neue Warnungen unterdrückt werden sollen.
Tags: Definieren Sie die Tag in Schritt 4 erstellten. (Brute-Force in unserem Beispiel).

Erstellen von integrierten Aktionen

Schritt 11) Bearbeiten Sie das neu geklonte Protokollweiterleitungsprofil, und konfigurieren Sie den entsprechenden Filter, um die Bedingung zu ignorieren, für die IP tags markiert wurde. In unserem Beispiel (Kategorie-of-threatid neq brute-force).Beachten Sie, dass "brute-force" Teil der Signaturmetadaten ist und die Groß-/Kleinschreibung beachtet wird, verwenden Sie alle Kleinbuchstaben.

Neu erstelltes (geklontes) Protokollweiterleitungsprofil bearbeiten

Schritt 12) Übernehmen Sie Ihre Konfiguration.

Schritt 13) Überprüfen Sie, ob er ordnungsgemäß funktioniert
Während der Abklingzeit entspricht der Datenverkehr der neuen geklonten Regel
Der Datenverkehr entspricht dem neuen Log Forwarding-Profil

Der Datenverkehr entspricht dem neuen Protokollweiterleitungsprofil, das für E-Mail-Warnungen für kategorie-of-threatid: brute-force konfiguriert ist.

Beachten Sie, dass, wenn die Häufigkeit von Warnungen zu hoch ist, es einige Warnungen geben kann, die durchrutschen, bis das IP Tagging in der einspringt MP und die Daten an die weitergegeben DP werden, dieser Mechanismus jedoch die Mehrheit der Folgewarnungen unterdrücken sollte.

Sobald die eingestellte Zeit (in diesem Fall 5 Minuten) abgelaufen ist, wird der Tag automatisch aus der Quelle entfernt, wodurch der Datenverkehr entsprechend der ursprünglichen Sicherheitsregel bewegt IP Policy wird.

Additional Information


Sie können den Verlauf der markierten IP 's in den IP-Tag Protokollen in der WebUI unter Monitor > Logs anzeigen > IP Tag
IP Tag Protokolle unter der Registerkarte Monitor

Alternativ können die Protokolle im Usinger Befehl angezeigt CLI werden: > log
iptag tag_name gleicher Brute-Force anzeigen

log iptag anzeigen tag_name gleiche Brute-Force
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HC1WCAW&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language