Konfigurieren des Neuauslösers für die Protokollweiterleitung für E-Mail-Warnungen
13528
Created On 12/18/20 21:22 PM - Last Modified 07/21/21 19:08 PM
Symptom
Das Protokollweiterleitungsprofil generiert mehrere E-Mail-Warnungen für denselben Ereignistyp, was zu einer E-Mail-Flut für denselben Ereignistyp führen kann.
Environment
- Palo Alto Networks Firewall
- PAN-OS >= 9,0
Cause
Die firewall kann die Anzahl der Bedrohungserkennungsereignisse auf ein gewisses Maß mit Protokollunterdrückungbegrenzen, dies reicht jedoch nicht aus, um Warnungen zu begrenzen, die möglicherweise erweiterte Re-Trigger-Timer wie E-Mail-Warnungen erfordern.
Resolution
Beispiel: Implementieren eines 5-minütigen Re-Trigger-Timers für E-Mail-Benachrichtigungen im Zusammenhang mit FTP Brute-Force-Versuchen. Die FTP Brute Force-Versuche werden für eine Block-IP-Aktion von 1 Minute konfiguriert, aber es wird nur eine E-Mail-Warnung alle 5 Minuten gewünscht.
Schritt 1) Suchen Sie den Policy Sicherheitsnamen, der dem Ereignis entspricht, das wir vorübergehend unterdrücken möchten, indem Sie zusätzliche E-Mail-Benachrichtigungen generieren. In unserem Beispiel möchten wir E-Mail-Benachrichtigungen für 5 Minuten für Brute-Force-Signaturen unterdrücken.
Schritt 2) Öffnen Sie die Detailprotokollansicht, indem Sie auf das Lupensymbol links neben dem Protokolleintrag klicken, und identifizieren Sie den Namen des verwendeten Protokollweiterleitungsprofils.
Schritt 3) Klonen Sie das Protokollweiterleitungsprofil, das verwendet wird. Verketten Sie "Cool off" oder einen anderen beschreibenden Namen, um den Klon zu identifizieren.
Schritt 4) Gehen Sie zu Objekte > Tags > hinzufügen.In unserem Beispiel erstellen wir einen tag benannten "brute-force"
Schritt 5) Erstellen Sie eine dynamische Adressgruppe unter Objekte > Adressgruppen > klicken Sie auf Hinzufügen. Definieren Sie einen Namen, Übereinstimmungsbedingung (sollte mit dem Tag in Schritt 2 erstellten Namen übereinstimmen) und auch Tag das Objekt, das in Schritt 2 erstellt Tag wurde.
Schritt 6) Klonen Sie die aktuelle Policy Sicherheit, die abgeglichen wird, um ihr voranzugehen. Sie können einen beschreibenden Namen wie Cool-off verketten.
Die resultierenden Richtlinien sollten wie folgt aussehen:
Schritt 7) Definieren Sie die Quelladresse, um die in Schritt 5 erstellte dynamische Adressgruppe zu verwenden.
Schritt 8) Gehen Sie zur Registerkarte Aktionen und definieren Sie den Weiterleitungsprofilklon an die Sicherheit Policy .
Schritt 9) Bearbeiten Sie das ursprüngliche Protokollweiterleitungsprofil.
In unserem Beispiel
schließen wir: Kategorie-der-Threatid-Brute-Force aus, indem sie Folgendes an den Filter anhängen: (category-of-threatid neq brute-force).Beachten Sie, dass "brute-force" Teil der Signaturmetadaten ist und die Groß-/Kleinschreibung beachtet wird, verwenden Sie alle Kleinbuchstaben.
Erstellen Sie eine neue Log Forwarding Profile Match List mit dem Namen " Tag to Cool Off"
Step 10) Erstellen Sie eine integrierte Aktion für die neu erstellte Log Forwarding Profile Match List.
Dies kann für Tag die Quelle, das Ziel, den Benutzer oder konfiguriert XFF IP werden.
Aktion konfigurieren: Tag
Registrierung hinzufügen: Lokales Benutzer-Timeout ID
(min), um anzugeben, wie lange neue Warnungen unterdrückt werden sollen.
Tags: Definieren Sie die Tag in Schritt 4 erstellten. (Brute-Force in unserem Beispiel).
Schritt 11) Bearbeiten Sie das neu geklonte Protokollweiterleitungsprofil, und konfigurieren Sie den entsprechenden Filter, um die Bedingung zu ignorieren, für die IP tags markiert wurde. In unserem Beispiel (Kategorie-of-threatid neq brute-force).Beachten Sie, dass "brute-force" Teil der Signaturmetadaten ist und die Groß-/Kleinschreibung beachtet wird, verwenden Sie alle Kleinbuchstaben.
Schritt 12) Übernehmen Sie Ihre Konfiguration.
Schritt 13) Überprüfen Sie, ob er ordnungsgemäß funktioniert
Der Datenverkehr entspricht dem neuen Protokollweiterleitungsprofil, das für E-Mail-Warnungen für kategorie-of-threatid: brute-force konfiguriert ist.
Beachten Sie, dass, wenn die Häufigkeit von Warnungen zu hoch ist, es einige Warnungen geben kann, die durchrutschen, bis das IP Tagging in der einspringt MP und die Daten an die weitergegeben DP werden, dieser Mechanismus jedoch die Mehrheit der Folgewarnungen unterdrücken sollte.
Sobald die eingestellte Zeit (in diesem Fall 5 Minuten) abgelaufen ist, wird der Tag automatisch aus der Quelle entfernt, wodurch der Datenverkehr entsprechend der ursprünglichen Sicherheitsregel bewegt IP Policy wird.
Additional Information
Sie können den Verlauf der markierten IP 's in den IP-Tag Protokollen in der WebUI unter Monitor > Logs anzeigen > IP Tag
Alternativ können die Protokolle im Usinger Befehl angezeigt CLI werden: > log
iptag tag_name gleicher Brute-Force anzeigen