「セッション終了理由:脅威」とは何ですか?

「セッション終了理由:脅威」とは何ですか?

121908
Created On 01/19/21 21:25 PM - Last Modified 11/15/23 02:17 AM


Symptom


トラフィック ログは、トラフィックが許可されたことを示しますが、セッション終了理由列には 「脅威」が示されます。

Environment


  • パロ ・ アルトのネットワーク Firewall
  • PAN-OS >= 8.0

Cause


セキュリティ ポリシーには、アクションとセキュリティ プロファイルがあります。
セキュリティ Policy アクションが 'Deny' の場合、トラフィックが によって拒否されているため、トラフィックが検査されないため、セキュリティ プロファイルを定義することは無意味です policy 。

したがって、セキュリティ Policy アクションが '許可' の場合、トラフィックは構成されたセキュリティ プロファイルによって検査されます。 脅威防止機能の 1 つが脅威を検出してブロックを実行すると、許可 (許可された) アクションとセッション終了理由のアクションが含まれたトラフィック ログ エントリが発生 policy します。

 

Resolution


どの脅威対策機能がトラフィックをブロックしたかを特定します。
  1. トラフィック ログ のエントリの左端にあるトラフィック ログの虫眼鏡アイコンをクリックして、詳細ログ ビューを開きます。
アクション許可とセッション終了理由の脅威を含むトラフィック ログ エントリ。
  1. 下部パネルの相関ログ エントリを確認して、ブロックが実行された脅威防止機能を特定します。
詳細ログ ビューで、両方のリセットアクションを実行した脅威ログ エントリを選択します。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HCQlCAO&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language