Was ist "Session End Reason: Threat"?
153187
Created On 01/19/21 21:25 PM - Last Modified 11/15/23 02:17 AM
Symptom
Die Datenverkehrsprotokolle weisen darauf hin, dass Datenverkehr zugelassen wurde, aber die Spalte Sitzungsende-Grund zeigt "Bedrohung" an.
Environment
- Palo Alto Networks Firewall
- PAN-OS >= 8,0
Cause
Sicherheitsrichtlinien verfügen über Aktionen und Sicherheitsprofile.
Wenn die Policy Sicherheitsaktion "Verweigern" ist, ist es sinnlos, Sicherheitsprofile zu definieren, da der Datenverkehr nie überprüft wird, da er von verweigert policy wird.
Wenn die Policy Sicherheitsaktion "Zulassen" lautet, wird der Datenverkehr daher von den konfigurierten Sicherheitsprofilen überprüft. Wenn eine der Threat Prevention-Funktionen eine Bedrohung erkennt und einen Block umsetzt, führt dies zu einer Datenverkehrsprotokolleingabe mit einer Aktion von allow (weil sie von policy erlaubt war) und Sitzungsende-Ursache: Bedrohung (weil eine Threat Prevention-Funktion den Datenverkehr blockierte, nachdem er ursprünglich zugelassen wurde und eine Bedrohung identifiziert wurde).
Resolution
Um zu ermitteln, welche Threat Prevention-Funktion den Datenverkehr blockiert hat.
- Öffnen Sie die Detaillierte Protokollansicht, indem Sie auf das Lupensymbol des Verkehrsprotokolls klicken, das sich ganz links vom Eintrag "Verkehrsprotokoll" begeben sollte.
- Überprüfen Sie die korrelierten Protokolleinträge im unteren Bereich, um festzustellen, welche Bedrohungspräventionsfunktion einen Block erlassen hat.