¿Qué es "Razón final de la sesión: amenaza"?

¿Qué es "Razón final de la sesión: amenaza"?

121882
Created On 01/19/21 21:25 PM - Last Modified 11/15/23 02:17 AM


Symptom


Los registros de tráfico indican que se permitió el tráfico, pero la columna session-end-reason indica 'amenaza'.

Environment


  • Palo Alto Networks Firewall
  • PAN-OS >= 8.0

Cause


Las directivas de seguridad tienen acciones y perfiles de seguridad.
Cuando la acción de seguridad Policy es 'Denegar', entonces no tiene sentido definir perfiles de seguridad, porque el tráfico nunca será inspeccionado, ya que está siendo denegado por policy .

Por lo tanto, cuando la acción de seguridad Policy es 'Permitir', el tráfico será inspeccionado por los perfiles de seguridad configurados. Si una de las características de prevención de amenazas detecta una amenaza y promulga un bloque, esto dará lugar a una entrada de registro de tráfico con una acción de permitir (porque estaba permitida por policy ) y la razón de finalización de la sesión: amenaza (porque una característica de prevención de amenazas bloqueó el tráfico después de que se permitió inicialmente y se identificó una amenaza).

 

Resolution


Para identificar qué característica de prevención de amenazas bloqueó el tráfico.
  1. Abra la vista de registro detallada haciendo clic en el icono de lupa del registro de tráfico, que debe estar a la izquierda de la entrada del registro de tráfico.
Entrada de registro de tráfico con action allow y session-end-reason threat.
  1. Revise las entradas de registro correlacionadas en el panel inferior para identificar qué característica de prevención de amenazas promulgó un bloque.
Vista de registro detallada que selecciona la entrada Registro de amenazas que promulgó la acción de restablecimiento.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HCQlCAO&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language