電子メール アラートのログ転送再トリガー タイマーを構成する方法
13536
Created On 12/18/20 21:22 PM - Last Modified 07/21/21 19:08 PM
Symptom
ログ転送プロファイルは、同じタイプのイベントに対して複数の電子メールアラートを生成し、同じイベントタイプに対してメールが殺到する可能性があります。
Environment
- パロ ・ アルトのネットワーク Firewall
- PAN-OS >= 9.0
Cause
firewall Log Suppressで繰り返される脅威検出イベントの数をレート制限できますが、これは、電子メール アラートなどの拡張再トリガー タイマーを必要とする可能性があるレート制限アラートには不十分です。
Resolution
例: ブルート フォースの試行に関連する電子メール アラートに対して 5 分間の再トリガー タイマー FTP を実装します。 FTPブルート フォースの試行は 1 分間のブロック IP アクション用に設定されますが、5 分ごとに 1 つの電子メール アラートのみが必要です。
ステップ 1) Policy 追加の電子メール アラートの生成を一時的に抑制するイベントに一致するセキュリティ名を検索します。 この例では、ブルートフォース署名に対して 5 分間メールアラートを抑制します。
ステップ 2) ログエントリの左側にある虫眼鏡アイコンをクリックして詳細ログビューを開き、使用しているログ転送プロファイルの名前を確認します。
ステップ 3) 使用中のログ転送プロファイルを複製します。 「クールオフ」または別のわかりやすい名前を連結して、クローンを識別します。
ステップ 4) [追加] >[タグ] >オブジェクトに移動します。この例では tag 、"brute-force" ステップ
5) [オブジェクト > アドレス グループ] の下に動的アドレス グループを作成>[追加] をクリックします Tag Tag Tag 。
ステップ 6) 照合対象の現在のセキュリティ Policy を複製して、その前に置きます。 クールオフのようなわかりやすい名前を連結できます。
結果のポリシーは次のようになります:
手順 7) 手順 5 で作成した動的アドレス グループを使用する送信元アドレスを定義します。
ステップ 8) [アクション] タブに移動し、[セキュリティへの転送プロファイル クローン] Policy を定義します。
ステップ 9) 元のログ転送プロファイルを編集します。
この例では、
次のフィルターを追加して、脅威のカテゴリのブルート フォースを除外します。「ブルートフォース」はシグネチャメタデータの一部であり、大文字と小文字を区別し、小文字をすべて使用します。
Tag"CoolOff" 手順 10) 新しく作成されたログ転送プロファイル一致リストに対して
組み込みアクションを作成する。これは、 Tag 送信元、宛先、ユーザー、または に設定できます XFF IP 。
アクションの構成: Tag
登録の追加: ローカル ユーザー ID
- タイムアウト (分) 新しいアラートを抑制する期間を指定します。
タグ: Tag ステップ 4 で作成したを定義します。 (私たちの例ではブルートフォース)。
手順 11) 新しく複製されたログ転送プロファイルを編集し、タグ付けされた条件を無視するように適切なフィルタ IP を設定します。 私たちの例では(脅威のカテゴリのneqブルートフォース)。「ブルートフォース」はシグネチャメタデータの一部であり、大文字と小文字を区別し、小文字をすべて使用します。
ステップ 12) 設定をコミットします。
ステップ 13) 正常に動作していることを確認
する トラフィックは、脅威カテゴリ: ブルート フォースの電子メール アラートを除くように構成された新しいログ転送プロファイルと一致します。
アラートの頻度が高すぎる場合は、 タグ付けが開始され、 データが に反映されるまで、いくつかのアラートが通過する可能性 IP MP DP がありますが、このメカニズムでは、後続のアラートの大部分が抑制されます。
設定された時間(この場合は5分)が経過すると、元 Tag の IP セキュリティルールに一致するようにトラフィックが移動し、ソースから自動的に削除されます Policy 。
Additional Information
WebUI のログでタグ付けされた 's の履歴を表示できます、 IP IP-Tag 監視>ログ > IP Tag
代わりに、使用するコマンドでログを表示 CLI >使用するコマンド:
ログ iptag tag_name等ブルートフォースを表示します。