¿Qué es "Razón final de la sesión: amenaza"?
153187
Created On 01/19/21 21:25 PM - Last Modified 11/15/23 02:17 AM
Symptom
Los registros de tráfico indican que se permitió el tráfico, pero la columna session-end-reason indica 'amenaza'.
Environment
- Palo Alto Networks Firewall
- PAN-OS >= 8.0
Cause
Las directivas de seguridad tienen acciones y perfiles de seguridad.
Cuando la acción de seguridad Policy es 'Denegar', entonces no tiene sentido definir perfiles de seguridad, porque el tráfico nunca será inspeccionado, ya que está siendo denegado por policy .
Por lo tanto, cuando la acción de seguridad Policy es 'Permitir', el tráfico será inspeccionado por los perfiles de seguridad configurados. Si una de las características de prevención de amenazas detecta una amenaza y promulga un bloque, esto dará lugar a una entrada de registro de tráfico con una acción de permitir (porque estaba permitida por policy ) y la razón de finalización de la sesión: amenaza (porque una característica de prevención de amenazas bloqueó el tráfico después de que se permitió inicialmente y se identificó una amenaza).
Resolution
Para identificar qué característica de prevención de amenazas bloqueó el tráfico.
- Abra la vista de registro detallada haciendo clic en el icono de lupa del registro de tráfico, que debe estar a la izquierda de la entrada del registro de tráfico.
- Revise las entradas de registro correlacionadas en el panel inferior para identificar qué característica de prevención de amenazas promulgó un bloque.