HIP les rapports ne sont pas envoyés à la GlobalProtect passerelle

• Il existe des HIP règles de sécurité basées sur les correspondances pour contrôler le trafic pour les utilisateurs de protection globale.
• Les règles ne correspondent pas et il est identifié qu'il n'y a pas HIP de rapport disponible sur la passerelle pour les clients.
• Le problème affecte tous les utilisateurs de la passerelle spécifique et ceux qui correspondent à une configuration d’agent spécifique.

• La même chose PC lorsque vous êtes connecté à une autre passerelle ou à un locataire GP Prisma fonctionne très bien avec HIP les rapports, les journaux peuvent être vus pour cet utilisateur. Cela isole que le problème ne vient pas de la machine utilisateur.
• Il n'y a pas de journaux de bloc du public IP du client au public IPde GP la passerelle.
• Le problème persiste même après la suppression de tous les logiciels proxy et de sécurité tiers du client.
• Même si le client tente d’envoyer le HIP rapport manuellement, cela ne fonctionne pas. Les journaux PanGPS ci-dessous indiquent que le client ne soumet pas le rapport, même pour une soumission manuelle. (Activer la connexion au niveau du vidage sur GP le client)

Dump 02/01/21 10:15:50:038 Received following message from UI
<request><type>hip</type></request>

Debug 02/01/21 10:15:50:045 CheckHipMissingPatchInOtherProcess(): Starting process PanGpHipMp.exe
Debug02/01/21 10:16:24:978 Got hip report in other process ready event.
<hip-report>
	<generate-time>02/01/2021 10:16:24</generate-time>

Debug 02/01/21 10:16:24:978 HipReportThread: got HIP report ready event.
Debug 02/01/21 10:16:24:979 HipReportThread: wait for network discover ready event.
Debug 02/01/21 10:16:25:127 HipReportThread: network type is unknown network.

• Palo Alto Firewall ou Prisma Access Firewall.
• Pris en charge PAN-OS.
• GlobalProtect Configuré
• HIP Vérification activée.

• Consultez le PanGPS pour les journaux suivants.

Debug: 01/31/21 18:44:42:963 NetworkDiscoverThread: Discover external network.
Debug: 01/31/21 18:44:42:963 gateway 0 of us-east-g-customer.gw.gpcloudservice.com is manual select only, will not be in rediscover list
Debug: 01/31/21 18:44:42:963 gateway 1 of us-southeast-customer.gw.gpcloudservice.com is manual select only, will not be in rediscover list
Debug: 01/31/21 18:44:42:963 There is no gateway suitable to discovery
Debug: 02/01/21 10:09:58:418 --Set state to Connected
Debug: 02/01/21 10:09:58:540 Tunnel is created with the gateway us-southeast-customer.gw.gpcloudservice.com

Debug: 02/01/21 10:09:59:445 HipReportThread: network type is unknown network.
Debug: 02/01/21 10:09:59:447 HipReportThread: wait for HIP report ready event.

• Les journaux ci-dessus indiquent que la découverte du réseau externe et de la passerelle échoue. Le message « aucune passerelle appropriée » indique un problème de configuration.
• En outre, les journaux indiquent que le type de réseau est inconnu, HIP ce qui indique que le HIP rapport ne sera pas envoyé. Vérifiez la méthode de connexion à partir de la configuration du portail ou des journaux PanGPS si elle est définie sur user-logon.

Info: 01/29/21 13:43:26:411 Connect method is user-logon

1. La méthode de connexion utilisateur-ouverture de session ne peut pas être utilisée lorsque toutes les passerelles externes répertoriées dans la configuration sont en mode manuel uniquement (étapes 7 à 7).
2. Il s’agit d’une mauvaise configuration: l’une des 2 options ci-dessous aidera à résoudre le problème.

• Configurez la méthode de connexion à la demande.
• Définissez les passerelles avec une certaine priorité et supprimez le mode manuel uniquement. (Ils peuvent toujours être mis à disposition pour une connexion manuelle afin que l’utilisateur puisse sélectionner la passerelle)