Comment configurer log forwarding re-trigger timer pour les alertes e-mail
13526
Created On 12/18/20 21:22 PM - Last Modified 07/21/21 19:08 PM
Symptom
Le profil de forwarding de journal génère plusieurs alertes d’email pour le même type d’événement, qui peuvent causer une inondation d’email pour le même type d’événement.
Environment
- Palo Alto Networks Firewall
- PAN-OS >= 9,0
Cause
Le taux peut limiter le nombre de répétitions d’événements de détection de menaces dans une certaine mesure avec firewall la suppression du journal,mais cela ne suffit pas à limiter les alertes qui peuvent nécessiter des délais de déclenchement prolongés tels que les alertes par courriel.
Resolution
Exemple : Mise en œuvre d’une minuterie de déclenchement de 5 minutes pour les alertes par courriel liées aux FTP tentatives de force brute. Les FTP tentatives Brute Force sont configurées pour une action block-ip de 1 minute, mais une seule alerte e-mail toutes les 5 minutes est souhaitée.
Étape 1) Trouvez le nom de Policy sécurité correspondant à l’événement que nous voulons supprimer temporairement de générer des alertes e-mail supplémentaires. Dans notre exemple, nous voulons supprimer les alertes par e-mail pendant 5 minutes pour toutes les signatures brutes.
Étape 2) Ouvrez la vue Journal détaillé en cliquant sur l’icône de la loupe à gauche de l’entrée du journal, et identifiez le nom du profil de révisage de journal utilisé.
Étape 3) Clonez le profil de forwarding de journal qui est utilisé. Concatenate « Cool off » ou un autre nom descriptif pour identifier le clone.
Étape 4) Passez aux objets et > balises > Ajouter.Dans notre exemple, nous créons une tag étape 5 nommée « force brute ») Créez un groupe d’adresse dynamique sous les groupes
d’adresses d’objets > > Cliquez ajouter. Définissez un nom, une condition de correspondance (devrait correspondre au Tag nom créé à l’étape 2), ainsi que Tag l’objet utilisant le créé dans Tag l’étape 2.
Étape 6) Cloner la sécurité Policy actuelle appariée pour la précéder. Vous pouvez concatenate un nom descriptif comme Cool-off.
Les stratégies qui en résultent devraient ressembler à :
Étape 7) Définissez l’adresse source pour utiliser le groupe d’adresses dynamiques créé à l’étape 5.
Étape 8) Allez à l’onglet Actions et définissez le clone de profil de forwarding à la sécurité Policy .
Étape 9) Modifier le profil de forwarding journal d’origine.
Dans notre exemple, nous:
Exclure la catégorie de la force brute threatid en appending ce qui suit au filtre: (catégorie de menace neq brute-force).Notez que « force brute » fait partie des métadonnées de signature et il est sensible au cas, utiliser tous les cas inférieurs.
Créez une nouvelle liste de correspondances de profil de rééditation de journal nommée « Tag pour refroidir » Étape
10) Créez une action intégrée pour la liste de correspondance de profil de réadage nouvellement créée.
Cela peut être configuré vers Tag la Source, destination, utilisateur ou XFF IP .
Configurer l’action Tag
: Ajouter l’enregistrement : ID
délai d’attente de l’utilisateur local (min) pour spécifier pendant combien de temps de nouvelles alertes doivent être supprimées.
Tags: Définir le Tag créé dans l’étape 4. (force brute dans notre exemple).
Étape 11) Modifier le profil de forwarding journal nouvellement cloné, et configurer le filtre approprié pour ignorer la condition IP qui 's ont été marqués pour. Dans notre exemple (catégorie de menace neq brute-force).Notez que « force brute » fait partie des métadonnées de signature et il est sensible au cas, utiliser tous les cas inférieurs.
Étape 12) Engagez votre configuration.
Étape 13) Vérifiez qu’il fonctionne correctement Le trafic correspond au nouveau
profil de forwarding de journal qui est configuré à l’exception des alertes e-mail pour la catégorie de threatid: force brute.
Notez que si la fréquence des alertes est trop élevée, il peut y avoir quelques alertes qui glissent à travers IP jusqu’à ce que le marquage kicks-in dans le et les données se propage à la , mais ce mécanisme devrait supprimer la majorité des MP DP alertes de suivi.
Une fois l’heure définie (dans ce cas 5 minutes) passée, le Tag sera automatiquement supprimé de la IP source, déplaçant le trafic pour correspondre à la règle de sécurité Policy d’origine.
Additional Information
Vous pouvez afficher IP l’historique des marqués dans les IP-Tag journaux de l’interface Utilisateur Web sous Monitor > Logs > IP Tag
Alternativement, les journaux peuvent être consultés dans la commande CLI d’utilisation :
> afficher le journal iptag tag_name force brute égale