La columna de acción del registro de amenazas muestra "reset-server" en lugar de "reset-both"

La columna de acción del registro de amenazas muestra "reset-server" en lugar de "reset-both"

57431
Created On 01/07/21 02:24 AM - Last Modified 04/01/24 07:37 AM


Question


  • El cliente está utilizando "reset-both" para la acción predeterminada del decodificador http del perfil antivirus.
  • Cuando detecta firewall el malware enviado en sesión por la firma HTTP AntiVirus, la página de notificación de bloque se NOT muestra en el lado del navegador, el TCP restablecimiento se envía sólo al lado del servidor Web y la columna de acción del registro de amenazas muestra "reset-server" en lugar de "reset-both". Por lo general, cuando el firewall detecta el malware enviado en sesión por la firma HTTP AntiVirus con la acción predeterminada del decodificador http del perfil AntiVirus "reset-both", la página de notificación de bloque se envía al navegador desde el firewall , se muestra en el navegador, la sesión HTTP se restablece en el lado del servidor Web / navegador y la columna de acción del registro de amenazas muestra "reset-both".
  • ¿Por qué la columna de acción del registro de amenazas muestra "reset-server" en lugar de "reset-both" aunque el cliente está utilizando "reset-both" para la acción predeterminada del decodificador http del perfil antivirus ?

Environment


  • El malware se envía desde HTTP la sesión.
  • PANOS 8.1
  • PANOS 9.0
  • PANOS 9,1
  • PANOS 10,0
  • El cliente está utilizando "reset-both" para la acción predeterminada del decodificador http del perfil antivirus.

Answer


  • Con el fin de insertar la página de notificación de bloque en la HTTP sesión donde se entrega el malware, las necesidades para encontrar el malware en el primer paquete de la firewall HTTP respuesta. Así que si el firewall detecta la amenaza no en el primer paquete de la respuesta, en este caso, los HTTP encabezados ya se transmiten al navegador desde el firewall y el can't enviar la página de notificación de firewall bloque, la única acción que se está tomando es enviar el restablecimiento a ambos.Este resultado es el esperado. Si el firewall detecta el malware temprano en el primer paquete de la respuesta, así que el firewall es capaz de enviar la página de notificación al navegador.
  • Tenga en cuenta que este resultado es específico cuando el malware no se detecta en el primer paquete de la HTTP respuesta.
  • Si necesita una descripción detallada de "Acciones en perfiles de seguridad", puede encontrarla desde el URL https://docs.paloaltonetworks.com/ pan-os /10-0/ pan-os -web-interface-help/objects/objects-security-profiles/actions-in-security-profiles.html
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HCCKCA4&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language