如何为电子邮件警报配置日志转发重新触发计时器
13530
Created On 12/18/20 21:22 PM - Last Modified 07/21/21 19:08 PM
Symptom
日志转发配置文件为同一类型的事件生成多个电子邮件警报,这可能会导致同一事件类型的电子邮件泛洪。
Environment
- 帕洛阿尔托网络 Firewall
- PAN-OS >= 9.0
Cause
firewall可以通过日志抑制在一定程度上限制威胁检测事件重复的数量,但是,这不足以限制可能需要延长的重新触发定时器(如电子邮件警报)的速率限制警报。
Resolution
示例:为与暴力尝试相关的电子邮件警报实施 5 分钟重新触发的超时器 FTP 。 FTP暴力部队的尝试被配置为1分钟的块-ip行动,但只需要每5分钟一个电子邮件警报。
第 1 步) 查找 Policy 与我们要暂时阻止生成其他电子邮件警报的事件匹配的安全名称。 在我们的示例中,我们希望为任何蛮力签名禁用电子邮件警报 5 分钟。
第 2 步) 单击日志条目左侧的放大镜图标,打开详细日志视图,并识别正在使用的日志转发配置文件的名称。
第 3 步) 克隆正在使用的日志转发配置文件。 将"冷却"或其他描述性名称串联以识别克隆。
第 4 步) 转到添加>标记>对象。在我们的示例中,我们创建了一个名为 tag "暴力"
的第 5 步)在"对象">地址组下创建动态地址组>单击"添加"。定义名称、匹配条件(应匹配 Tag 步骤 2 中创建的名称),以及 Tag 使用 Tag 步骤 2 中创建的对象。
第 6 步) 克隆当前安全 Policy 匹配到它之前。 您可以将"酷关闭"等描述性名称串联在一起。
由此产生的策略应看起来像:
步骤 7) 定义源地址以使用第 5 步中创建的动态地址组。
步骤 8) 转到"操作"选项卡并定义"安全转发配置文件克隆 Policy "。
第 9 步) 编辑原始日志转发配置文件。
在我们的示例中,我们:
通过在过滤器中附加以下威胁性暴力排除类别:(威胁性暴力类别)。请注意,"蛮力"是签名元数据的一部分,并且对案例敏感,请使用所有小写字母。
创建名为"冷却"步骤 10 的新日志转发配置文件匹配列表 Tag
)为新创建的日志转发配置文件匹配列表创建内置操作。
这可以配置为 Tag 源、目的地、用户或 XFF IP 。
配置操作:添加 Tag
注册:本地用户 ID
超时(分钟),以指定应抑制新警报的时间。
标记:定义第 Tag 4 步中创建的标记。 (我们的例子中的蛮力)。
第 11 步)编辑新克隆的日志转发配置文件,并配置适当的筛选器来忽略 IP 标记的条件。 在我们的示例中(威胁性 neq 暴力类别)。请注意,"蛮力"是签名元数据的一部分,并且对案例敏感,请使用所有小写字母。
第 12 步) 提交您的配置。
第 13 步) 验证它是否工作正常
流量匹配新的日志转发配置文件,该配置文件被配置为威胁类别的除外的电子邮件警报:蛮力。
请注意,如果警报频率过高,可能会有一些警报滑过,直到 IP 标记在 MP 和数据传播到 DP ,但是这个机制应该抑制大多数后续警报。
一旦设定的时间(在此例中为 5 分钟)过去, Tag 将自动从源中删除 IP ,移动流量以匹配原始安全 Policy 规则。
Additional Information
您可以 IP 在 IP-Tag "监视器>日志"下查看 WebUI 中标记的日志中标记的历史记录> IP Tag
或者,可以在使用命令中查看日志 CLI
:>显示日志 iptag tag_name等于蛮力