Comment configurer log forwarding re-trigger timer pour les alertes e-mail

13526

Created On 12/18/20 21:22 PM - Last Modified 07/21/21 19:08 PM

Symptom

Le profil de forwarding de journal génère plusieurs alertes d’email pour le même type d’événement, qui peuvent causer une inondation d’email pour le même type d’événement.

Environment

Palo Alto Networks Firewall
PAN-OS >= 9,0

Cause

Le taux peut limiter le nombre de répétitions d’événements de détection de menaces dans une certaine mesure avec firewall la suppression du journal,mais cela ne suffit pas à limiter les alertes qui peuvent nécessiter des délais de déclenchement prolongés tels que les alertes par courriel.

Resolution

Exemple : Mise en œuvre d’une minuterie de déclenchement de 5 minutes pour les alertes par courriel liées aux FTP tentatives de force brute. Les FTP tentatives Brute Force sont configurées pour une action block-ip de 1 minute, mais une seule alerte e-mail toutes les 5 minutes est souhaitée.

Étape 1) Trouvez le nom de Policy sécurité correspondant à l’événement que nous voulons supprimer temporairement de générer des alertes e-mail supplémentaires. Dans notre exemple, nous voulons supprimer les alertes par e-mail pendant 5 minutes pour toutes les signatures brutes.
Identifiez la Policy sécurité correspondant actuellement au trafic intéressant.

Identifiez la Policy sécurité correspondant actuellement au trafic intéressant.

Étape 2) Ouvrez la vue Journal détaillé en cliquant sur l’icône de la loupe à gauche de l’entrée du journal, et identifiez le nom du profil de révisage de journal utilisé.
Identifier le nom du profil de forwarding de journal

Identifier le nom du profil de forwarding de journal

Étape 3) Clonez le profil de forwarding de journal qui est utilisé. Concatenate « Cool off » ou un autre nom descriptif pour identifier le clone.
Clone Email Log Forwarding Profil.

Étape 4) Passez aux objets et > balises > Ajouter.Dans notre exemple, nous créons une tag étape 5 nommée « force brute ») Créez un groupe d’adresse dynamique sous les groupes
Créer la force brute Tag

d’adresses d’objets > > Cliquez ajouter. Définissez un nom, une condition de correspondance (devrait correspondre au Tag nom créé à l’étape 2), ainsi que Tag l’objet utilisant le créé dans Tag l’étape 2.
Créer un groupe d’adresses dynamique

Étape 6) Cloner la sécurité Policy actuelle appariée pour la précéder. Vous pouvez concatenate un nom descriptif comme Cool-off.
Clone Security Policy pour précéder la règle actuellement appariée

Clone Security Policy pour précéder la règle actuellement appariée

Les stratégies qui en résultent devraient ressembler à :
Image ajoutée par l'utilisateur

Étape 7) Définissez l’adresse source pour utiliser le groupe d’adresses dynamiques créé à l’étape 5.
Modifier la sécurité Policy

Étape 8) Allez à l’onglet Actions et définissez le clone de profil de forwarding à la sécurité Policy .
Modifier le Policy journal défini de la sécurité vers le nouveau clone

Modifier le Policy journal défini de la sécurité vers le nouveau clone

Étape 9) Modifier le profil de forwarding journal d’origine.
Dans notre exemple, nous:
Exclure la catégorie de la force brute threatid en appending ce qui suit au filtre: (catégorie de menace neq brute-force).Notez que « force brute » fait partie des métadonnées de signature et il est sensible au cas, utiliser tous les cas inférieurs.
Créez une nouvelle liste de correspondances de profil de rééditation de journal nommée « Tag pour refroidir » Étape
Modifier le profil de forwarding journal original

Modifier le profil de forwarding journal original

10) Créez une action intégrée pour la liste de correspondance de profil de réadage nouvellement créée.
Cela peut être configuré vers Tag la Source, destination, utilisateur ou XFF IP .
Configurer l’action Tag
: Ajouter l’enregistrement : ID
délai d’attente de l’utilisateur local (min) pour spécifier pendant combien de temps de nouvelles alertes doivent être supprimées.
Tags: Définir le Tag créé dans l’étape 4. (force brute dans notre exemple).

Créer intégré dans l’action

Étape 11) Modifier le profil de forwarding journal nouvellement cloné, et configurer le filtre approprié pour ignorer la condition IP qui 's ont été marqués pour. Dans notre exemple (catégorie de menace neq brute-force).Notez que « force brute » fait partie des métadonnées de signature et il est sensible au cas, utiliser tous les cas inférieurs.

Modifier le profil de forwarding journal nouvellement créé (cloné)

Modifier le profil de forwarding journal nouvellement créé (cloné)

Étape 12) Engagez votre configuration.

Étape 13) Vérifiez qu’il fonctionne correctement Le trafic correspond au nouveau
Pendant la période de refroidissement, le trafic correspondra à la nouvelle règle clonée

Pendant la période de refroidissement, le trafic correspondra à la nouvelle règle clonée

Le trafic correspond au nouveau profil de déconnectage

profil de forwarding de journal qui est configuré à l’exception des alertes e-mail pour la catégorie de threatid: force brute.

Notez que si la fréquence des alertes est trop élevée, il peut y avoir quelques alertes qui glissent à travers IP jusqu’à ce que le marquage kicks-in dans le et les données se propage à la , mais ce mécanisme devrait supprimer la majorité des MP DP alertes de suivi.

Une fois l’heure définie (dans ce cas 5 minutes) passée, le Tag sera automatiquement supprimé de la IP source, déplaçant le trafic pour correspondre à la règle de sécurité Policy d’origine.

Additional Information

Vous pouvez afficher IP l’historique des marqués dans les IP-Tag journaux de l’interface Utilisateur Web sous Monitor > Logs > IP Tag
IP Tag journaux sous l’onglet Moniteur

Alternativement, les journaux peuvent être consultés dans la commande CLI d’utilisation :
> afficher le journal iptag tag_name force brute égale

afficher l’iptag tag_name une force brute égale