Qu’est-ce que « Session End Reason: threat »?
153187
Created On 01/19/21 21:25 PM - Last Modified 11/15/23 02:17 AM
Symptom
Les journaux de trafic indiquent que le trafic a été autorisé, mais la colonne de fin de session indique « menace ».
Environment
- Palo Alto Networks Firewall
- PAN-OS >= 8,0
Cause
Les politiques de sécurité ont des actions et des profils de sécurité.
Lorsque Policy l’action de sécurité est « Refuser », alors il est inutile de définir les profils de sécurité, parce que le trafic ne sera jamais inspecté, car il est refusé par policy .
Par conséquent, lorsque Policy l’action de sécurité est « Autoriser », le trafic sera inspecté par les profils de sécurité configurés. Si l’une des caractéristiques de prévention des menaces détecte une menace et édicte un bloc, il en résultera une entrée de journal de circulation avec une action de permettre (parce qu’il a été autorisé par ) et session-fin-raison: menace (parce qu’une fonction de prévention des menaces bloqué la circulation après policy qu’il a été initialement autorisé et une menace a été identifiée).
Resolution
Pour identifier quelle fonction de prévention des menaces a bloqué la circulation.
- Ouvrez la vue journal détaillé en cliquant sur l’icône loupe du journal de trafic, qui doit se faire à l’extrême gauche de l’entrée traffic log.
- Examinez les entrées de journal corrélées dans le panneau inférieur afin d’identifier quelle fonctionnalité de prévention des menaces a adopté un bloc.