Qu’est-ce que « Session End Reason: threat »?

Qu’est-ce que « Session End Reason: threat »?

121900
Created On 01/19/21 21:25 PM - Last Modified 11/15/23 02:17 AM


Symptom


Les journaux de trafic indiquent que le trafic a été autorisé, mais la colonne de fin de session indique « menace ».

Environment


  • Palo Alto Networks Firewall
  • PAN-OS >= 8,0

Cause


Les politiques de sécurité ont des actions et des profils de sécurité.
Lorsque Policy l’action de sécurité est « Refuser », alors il est inutile de définir les profils de sécurité, parce que le trafic ne sera jamais inspecté, car il est refusé par policy .

Par conséquent, lorsque Policy l’action de sécurité est « Autoriser », le trafic sera inspecté par les profils de sécurité configurés. Si l’une des caractéristiques de prévention des menaces détecte une menace et édicte un bloc, il en résultera une entrée de journal de circulation avec une action de permettre (parce qu’il a été autorisé par ) et session-fin-raison: menace (parce qu’une fonction de prévention des menaces bloqué la circulation après policy qu’il a été initialement autorisé et une menace a été identifiée).

 

Resolution


Pour identifier quelle fonction de prévention des menaces a bloqué la circulation.
  1. Ouvrez la vue journal détaillé en cliquant sur l’icône loupe du journal de trafic, qui doit se faire à l’extrême gauche de l’entrée traffic log.
L’entrée de journal de trafic avec l’action permettent et la menace de fin de session-raison.
  1. Examinez les entrées de journal corrélées dans le panneau inférieur afin d’identifier quelle fonctionnalité de prévention des menaces a adopté un bloc.
Vue journal détaillée sélectionnant l’entrée du journal des menaces qui a adopté l’action de réinitialisation des deux.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HCQlCAO&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language