脅威ログのアクション列には、"リセット-両方" ではなく "リセットサーバー" と表示されます。

57405

Created On 01/07/21 02:24 AM - Last Modified 04/01/24 07:37 AM

Question

お客様は、ウイルス対策プロファイルの http デコーダの既定のアクションに "reset-both" を使用しています。
firewall HTTP は、AntiVirus シグネチャによってセッションで送信されたマルウェアを検出すると、ブロック通知ページが NOT ブラウザ側に表示され、 TCP リセットは Web サーバー側にのみ送信され、脅威ログのアクション列には"reset-both"ではなく"リセットサーバー"と表示されます。通常 firewall HTTP 、AntiVirus Profileの「reset-both」のhttpデコーダのデフォルトアクションで、AntiVirus シグネチャによってセッションで送信されたマルウェアを検出すると、ブロック通知ページ firewall がブラウザに送信され、ブラウザに表示され、 HTTP セッションがWebサーバー/ブラウザ側にリセットされ、脅威ログのアクション列に「リセット-both」と表示されます。
脅威ログのアクション列に"reset-both"ではなく"リセット-サーバ"と表示される理由ですが、お客様はアンチウイルスプロファイルのhttpデコーダのデフォルトアクションに「両方をリセット」を使用していますか?

マルウェアが配信されるセッションにブロック通知ページを挿入するために HTTP は、 firewall 応答の最初のパケットでマルウェアを見つける必要があります HTTP 。したがって、 firewall 応答の最初のパケットに存在しない脅威が検出された場合、この場合、 HTTP ヘッダーはすでにからブラウザに送信 firewall され firewall 、ブロック通知ページを送信できない場合、実行される唯一のアクションは両方にリセットを送信することです。この結果は期待どおりです。 firewall応答の最初のパケットの早い段階でマルウェアを検出した場合、 firewall は通知ページをブラウザに送信できます。
この結果は、応答の最初のパケットでマルウェアが検出されない場合に特定の結果であることに注意してください HTTP 。
「セキュリティプロファイルのアクション」の詳細な説明が必要な場合は URL 、https://docs.paloaltonetworks.com/ pan-os /10-0/ pan-os -web-interface-help/objects/objects-security-profiles/actions-in-security-profiles.html