「セッション終了理由:脅威」とは何ですか?
153187
Created On 01/19/21 21:25 PM - Last Modified 11/15/23 02:17 AM
Symptom
トラフィック ログは、トラフィックが許可されたことを示しますが、セッション終了理由列には 「脅威」が示されます。
Environment
- パロ ・ アルトのネットワーク Firewall
- PAN-OS >= 8.0
Cause
セキュリティ ポリシーには、アクションとセキュリティ プロファイルがあります。
セキュリティ Policy アクションが 'Deny' の場合、トラフィックが によって拒否されているため、トラフィックが検査されないため、セキュリティ プロファイルを定義することは無意味です policy 。
したがって、セキュリティ Policy アクションが '許可' の場合、トラフィックは構成されたセキュリティ プロファイルによって検査されます。 脅威防止機能の 1 つが脅威を検出してブロックを実行すると、許可 (許可された) アクションとセッション終了理由のアクションが含まれたトラフィック ログ エントリが発生 policy します。
Resolution
どの脅威対策機能がトラフィックをブロックしたかを特定します。
- トラフィック ログ のエントリの左端にあるトラフィック ログの虫眼鏡アイコンをクリックして、詳細ログ ビューを開きます。
- 下部パネルの相関ログ エントリを確認して、ブロックが実行された脅威防止機能を特定します。