HIPプロファイルが一致しない場合に一 HIP 致ログを生成する方法
17550
Created On 01/15/21 01:07 AM - Last Modified 03/26/21 18:55 PM
Objective
- HIP firewall ユーザーのレポートが GlobalProtect 構成済みのプロファイルと一致するたびに、ゲートウェイの Match Log HIP にエントリが HIP 生成されます。
- このドキュメントでは、ユーザーのレポートが意図したプロファイルと一致しなかった場合にも生成するようにログ エントリを設定する方法について説明 HIP します。
Environment
- 任意のパロアルトネットワーク firewall
- PAN-OS 7.1 以降
- GlobalProtect チェックで構成されたゲートウェイ HIP
Procedure
- [ GlobalProtect > HIP プロファイル>オブジェクト] で HIP 、ユーザーが一致するプロファイルを指定します。
- プロファイルを検査 HIP し、一致基準をコピーします。
- HIPユーザーが正しいプロファイルと一致しなかったことを示す名前を持つ新しいプロファイルを作成 HIP します。 同じ一致条件を追加しますが、"not" キーワードを使用して、既存のロジックをすべて否定します。 この例では、"windows_nomatch" という名前を使用して、ユーザーが Windows プロファイルと一致していないことを示 HIP します。
- コミット
Additional Information
新しい HIP プロファイル「nomatch」が作成されると、受信したすべてのユーザーのヒップ レポートがそれに対して評価されます。 新しい HIP プロファイルをセキュリティルールに追加する必要はありません policy 。 次のドキュメントで説明しているように(手順 6 で)、すべての構成済み HIP プロファイルは、レポートが送信された時点で評価されます HIP
https://docs.paloaltonetworks.com/。 globalprotect globalprotect policy
これで HIP 、ユーザーが接続して適切なプロファイルに一致しなかった場合、マッチ ログ (監視> ログ > HIP 一致) がエントリ "nomatch" を記録します HIP 。