El análisis de Protección contra amenazas y Protección avanzada contra amenazas se omite cuando los identificadores de aplicación personalizados están configurados para tráfico desconocido

• El ID de aplicación personalizado está configurado para identificar el tráfico desconocido (unknown-req-tcp-payload, unknown-rsp-tcp-payload, unknown-req-udp-payload, unknown-rsp-udp-payload)
• Y
• La configuración "Continuar con el análisis de otras aplicaciones" está habilitada en el ID de aplicación personalizado, O el perfil "Protección contra vulnerabilidades" se adjunta a la directiva de seguridad para permitir el tráfico identificado con estos ID de aplicación personalizados.

• Palo Alto Firewalls.
• PAN-OS 9.1 y superior.
• App-ID personalizado
• Protección de la vulnerabilidad

¿Cómo sé si estoy afectado?

• Paso 1: Vaya a la interfaz de usuario panorámica o FW y busque ID de aplicaciones personalizadas con tráfico desconocido (GUI: Objetos > aplicaciones > Usar botón desplegable para seleccionar "Aplicaciones personalizadas".

• Haga clic en la aplicación para comprobar el "Contexto". En el ejemplo siguiente se muestra una aplicación personalizada configurada con un contexto de carga udp desconocido para la firma definida.  

• Paso 2: Compruebe si la opción "Continuar buscando otras aplicaciones" está habilitada.
  
  
  Paso 3: Compruebe si el perfil de vulnerabilidad está asociado a la regla de directiva de seguridad que permite el identificador
  
  
  
  de aplicación personalizado Si el paso 1 es TRUE y el paso 2 o el paso 3 son TRUE, el firewall se ve afectado por la corrección. Continúe leyendo para saber cómo prepararse para la solución.

¿Cómo prepararse para la solución?

Revise todos los ID de aplicación personalizados para ver si cumplen las condiciones mencionadas anteriormente. Utilice una de las siguientes opciones para prepararse.

• Opción 1 (recomendada): Probar el tráfico de ID de aplicación personalizado en el laboratorio:
  1. Capture el tráfico que se identifica con este ID de aplicación personalizado, que se detalla aquí.
  2. Vuelva a reproducir el pcap en un entorno de laboratorio en un FW sin el ID de aplicación personalizado.
  3. Si el tráfico se identifica como unknown-tcp o unknown-udp, no debería haber ningún impacto (después de instalar la actualización de contenido, este tráfico seguirá identificándose con su ID de aplicación personalizado).
  4. Si el tráfico se identifica con otro App-ID, agregue este nuevo App-ID a la regla de directiva de seguridad para permitir este tráfico.
• Opción 2: Usar filtros de aplicación
• Esta opción es buena para los clientes que comprenden con confianza su tráfico de ID de aplicación personalizado, por ejemplo, la categoría y la subcategoría en la que encaja. 
  1. Cree un filtro de aplicación para la categoría y subcategoría de aplicaciones en las que encaja el identificador de aplicación personalizado. Por ejemplo, si el tráfico de ID de aplicación personalizado está relacionado con los protocolos OT/ICS, utilice el filtro de ID de aplicación que seleccionará todos los ID de aplicación de la subcategoría "protocolos ics".
  2. A continuación, adjunte este filtro a la regla de directiva de seguridad con la acción "Permitir" y colóquelo en la parte inferior del conjunto de reglas de directiva.
  3. Actualizar las aplicaciones y amenazas (contenido).
  4. Unos días después de instalar la actualización de contenido, revise las estadísticas de uso de reglas en Policy Optimizer. Si el tráfico se identifica con otro App-ID, agregue este nuevo App-ID a la regla de directiva de seguridad para permitir este tráfico.
  5. Retire el filtro de aplicación, cuando haya terminado.

Asegúrese de aplicar la corrección antes de la actualización de Aplicaciones y amenazas (contenido) programada para el 17 de octubre de 2023