Cómo configurar el temporizador de reactivación del reenvío de registros para alertas de correo electrónico

13530

Created On 12/18/20 21:22 PM - Last Modified 07/21/21 19:08 PM

Symptom

El perfil de reenvío de registros genera varias alertas de correo electrónico para el mismo tipo de evento, lo que puede provocar una inundación de correo electrónico para el mismo tipo de evento.

Environment

Palo Alto Networks Firewall
PAN-OS >= 9.0

Cause

El firewall puede limitar el número de eventos de detección de amenazas se repite en cierta medida con la supresión de registros,sin embargo, esto no es suficiente para calificar las alertas límite que pueden requerir temporizadores de re-desencadenador extendidos como alertas de correo electrónico.

Resolution

Ejemplo: Implementación de un temporizador de reactivación de 5 minutos para alertas de correo electrónico relacionadas con FTP intentos de fuerza bruta. Los FTP intentos de fuerza bruta se configuran para una acción block-ip de 1 minuto, pero solo se desea una alerta de correo electrónico cada 5 minutos.

Paso 1) Encontrar el nombre de seguridad Policy que coincide con el evento que queremos suprimir temporalmente de generar alertas de correo electrónico adicionales. En nuestro ejemplo queremos suprimir las alertas de correo electrónico durante 5 minutos para cualquier firma de fuerza bruta.
Identifique la seguridad Policy que coincide actualmente con el tráfico interesante.

Identifique la seguridad Policy que coincide actualmente con el tráfico interesante.

Paso 2) Abra la vista Registro detallado haciendo clic en el icono de lupa a la izquierda de la entrada de registro, e identifique el nombre del perfil de reenvío de registro que se está utilizando.
Identificar el nombre del perfil de reenvío de registros

Identificar el nombre del perfil de reenvío de registros

Paso 3) Clonar el perfil de reenvío de registros que está en uso. Concatenar "Enfriamiento" u otro nombre descriptivo para identificar el clon.
Clonar perfil de reenvío de registro de correo electrónico.

Clonar perfil de reenvío de registro de correo electrónico.

Paso 4) Vaya a Objetos > etiquetas > Agregar.En nuestro ejemplo creamos un tag paso 5 con nombre "fuerza bruta")
Crear fuerza bruta Tag

Creamos un grupo de direcciones dinámicos en Objetos > Grupos de direcciones > Haga clic en Agregar. Definir un nombre, Condición de coincidencia (debe coincidir con el Tag nombre creado en el paso 2) y también Tag el objeto mediante el creado en el paso Tag 2.
Crear grupo de direcciones dinámicas

Paso 6) Clonar la seguridad actual Policy que se está haciendo coincidir para precederla. Puede concatenar un nombre descriptivo como Cool-off.
Clonar seguridad Policy para preceder a la regla actualmente coincidente

Clonar seguridad Policy para preceder a la regla actualmente coincidente

Las directivas resultantes deben tener el siguiente aspecto:
Imagen de usuario añadido

Paso 7) Definir la dirección de origen para utilizar el grupo de direcciones dinámicas creado en el paso 5.
Edite la seguridad Policy

Paso 8) Vaya a la pestaña Acciones y defina el Clonación de perfil de reenvío a la seguridad Policy .
Cambie el reenvío de registro definido por la seguridad Policy al nuevo clon

Cambie el reenvío de registro definido por la seguridad Policy al nuevo clon

Paso 9) Edite el perfil de reenvío de registros original.
En nuestro ejemplo:
Excluimos la fuerza bruta de categoría de amenaza mediante la anexión de lo siguiente al filtro: (categoría de fuerza bruta neq threatid).Tenga en cuenta que 'brute-force' forma parte de los metadatos de la firma y distingue entre mayúsculas y minúsculas, utilice todo minúscula.
Cree una nueva lista de coincidencias de perfil de reenvío de registros denominada Tag "para enfriar"
Editar el perfil de reenvío de registros original

Editar el perfil de reenvío de registros original

paso 10) Cree una acción integrada para la lista de coincidencias de perfil de reenvío de registros recién creada.
Esto se puede configurar Tag al origen, destino, usuario o XFF IP .
Configurar acción: agregue Tag
registro: tiempo de espera del usuario local ID
(min) para especificar durante cuánto tiempo se deben suprimir las nuevas alertas.
Etiquetas: Defina lo creado en el Tag paso 4. (fuerza bruta en nuestro ejemplo).

Crear acción integrada

Paso 11) Edite el perfil de reenvío de registros recién clonado y configure el filtro adecuado para omitir la condición para la que IP fueron etiquetados. En nuestro ejemplo (categoría de amenazado neq brute-force).Tenga en cuenta que 'brute-force' forma parte de los metadatos de la firma y distingue entre mayúsculas y minúsculas, utilice todo minúscula.

Editar perfil de reenvío de registros recién creado (clonado)

Editar perfil de reenvío de registros recién creado (clonado)

Paso 12) Confirme su configuración.

Paso 13) Verifique que esté funcionando correctamente
Durante el período de enfriamiento, el tráfico coincidirá con la nueva regla clonada

Durante el período de enfriamiento, el tráfico coincidirá con la nueva regla clonada

El tráfico coincide con el nuevo perfil de reenvío de registros que está configurado para excepto alertas de correo electrónico para categoría de threatid: fuerza bruta.

Tenga en cuenta que si la frecuencia de las alertas es demasiado alta puede haber algunas alertas que se deslizan hasta que el IP etiquetado se inicia en el y los datos se MP propagan a la , sin DP embargo, este mecanismo debe suprimir la mayoría de las alertas de seguimiento.

Una vez transcurrido el tiempo establecido (en este caso 5 minutos), Tag se eliminará automáticamente del IP origen, moviendo el tráfico para que coincida con la regla de seguridad Policy original.

Additional Information

Usted puede ver el historial de etiquetado IP 's en los IP-Tag registros en el WebUI bajo monitor > registros > IP Tag
IP Tag registros en la pestaña Monitor

alternativamente, los registros se pueden ver en el CLI comando using: > show log
iptag tag_name igual fuerza bruta-fuerza

mostrar log iptag tag_name igual fuerza bruta