Was ist "Session End Reason: Threat"?

Was ist "Session End Reason: Threat"?

121902
Created On 01/19/21 21:25 PM - Last Modified 11/15/23 02:17 AM


Symptom


Die Datenverkehrsprotokolle weisen darauf hin, dass Datenverkehr zugelassen wurde, aber die Spalte Sitzungsende-Grund zeigt "Bedrohung" an.

Environment


  • Palo Alto Networks Firewall
  • PAN-OS >= 8,0

Cause


Sicherheitsrichtlinien verfügen über Aktionen und Sicherheitsprofile.
Wenn die Policy Sicherheitsaktion "Verweigern" ist, ist es sinnlos, Sicherheitsprofile zu definieren, da der Datenverkehr nie überprüft wird, da er von verweigert policy wird.

Wenn die Policy Sicherheitsaktion "Zulassen" lautet, wird der Datenverkehr daher von den konfigurierten Sicherheitsprofilen überprüft. Wenn eine der Threat Prevention-Funktionen eine Bedrohung erkennt und einen Block umsetzt, führt dies zu einer Datenverkehrsprotokolleingabe mit einer Aktion von allow (weil sie von policy erlaubt war) und Sitzungsende-Ursache: Bedrohung (weil eine Threat Prevention-Funktion den Datenverkehr blockierte, nachdem er ursprünglich zugelassen wurde und eine Bedrohung identifiziert wurde).

 

Resolution


Um zu ermitteln, welche Threat Prevention-Funktion den Datenverkehr blockiert hat.
  1. Öffnen Sie die Detaillierte Protokollansicht, indem Sie auf das Lupensymbol des Verkehrsprotokolls klicken, das sich ganz links vom Eintrag "Verkehrsprotokoll" begeben sollte.
Datenverkehrsprotokolleintrag mit Aktionszulassung und Bedrohung durch Sitzungsende.
  1. Überprüfen Sie die korrelierten Protokolleinträge im unteren Bereich, um festzustellen, welche Bedrohungspräventionsfunktion einen Block erlassen hat.
Detaillierte Protokollansicht, in der der Eintrag "Bedrohungsprotokoll" ausgewählt wurde, der die Reset-Both-Aktion erließ.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HCQlCAO&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language