脅威対策と高度な脅威対策のスキャンは、カスタムアプリIDが不明なトラフィック用に構成されている場合にバイパスされます

• カスタム App-ID は、不明なトラフィック(unknown-req-tcp-payload、unknown-rsp-tcp-payload、unknown-req-udp-payload、unknown-rsp-udp-payload)を識別するように設定されています。
• そして
• カスタムApp-IDで「他のアプリケーションのスキャンを続行する」設定が有効になっている か 、または「脆弱性保護」プロファイルがセキュリティポリシーに添付され、これらのカスタムApp-IDで識別されるトラフィックを許可します。

• パロアルトファイアウォール。
• PAN-OS 9.1 以降。
• カスタム アプリ ID
• 脆弱性の保護

自分が影響を受けているかどうかはどうすればわかりますか?

• ステップ1:パノラマまたはFW UIに移動し、不明なトラフィック(GUI:オブジェクト>アプリケーション>を使用してカスタムアプリケーションIDを探します ドロップダウンボタンを使用して[Custom Applications]を選択します。

• アプリケーションをクリックして「コンテキスト」を確認します。 次の例は、定義されたシグニチャのunknown-udpペイロードコンテキストで構成されたカスタムアプリケーションを示しています。  

• ステップ2: 「他のアプリケーションのスキャンを続行する」設定が有効になっているかどうかを確認します。
  
  
  ステップ3:脆弱性プロファイルが、カスタムApp-ID
  
  
  
  を許可するセキュリティポリシールールにアタッチされているかどうかを確認します ステップ 1 が TRUE で、ステップ2またはステップ3のいずれかが TRUE の場合、ファイアウォールは修正の影響を受けます。 修正の準備方法については、読み続けてください。

修正の準備方法は?

すべてのカスタム アプリ ID を確認して、上記の条件を満たしているかどうかを確認します。 以下のいずれかのオプションを使用して準備します。

• オプション 1 (推奨): ラボでカスタム App-ID トラフィックをテストします。
  1. このカスタム App-ID で識別されるトラフィックをキャプチャします ( 詳細はこちらを参照)。
  2. カスタム App-ID のない FW のラボ環境で pcap を再生します。
  3. トラフィックがunknown-tcpまたはunknown-udpとして識別された場合、影響はありません(コンテンツアップデートをインストールした後も、このトラフィックは引き続きカスタムアプリIDで識別されます)。
  4. トラフィックが別のApp-IDで識別される場合は、この新しいApp-IDをセキュリティポリシールールに追加して、このトラフィックを許可します。
• オプション2: アプリケーション フィルタの使用
• このオプションは、カスタムApp-IDトラフィック(該当するカテゴリやサブカテゴリなど)を自信を持って理解しているお客様に適しています。 
  1. カスタム App-ID が収まるアプリケーションのカテゴリとサブカテゴリのアプリケーション フィルタを作成します。 たとえば、カスタム App-ID トラフィックが OT/ICS プロトコルに関連している場合は、App-ID フィルターを使用して、「ics-protocols」サブカテゴリからすべての App-ID を選択します。
  2. 次に、このフィルターをアクション「許可」を使用してセキュリティポリシールールにアタッチし、ポリシールールセットの一番下に配置します。
  3. アプリケーションと脅威 (コンテンツ) を更新します。
  4. コンテンツ更新をインストールしてから数日後に、 ポリシー オプティマイザーでルールの使用状況の統計を確認します。 トラフィックが別のApp-IDで識別される場合は、この新しいApp-IDをセキュリティポリシールールに追加して、このトラフィックを許可します。
  5. 完了したら、アプリケーション フィルタを削除します。

2023 年 10 月 17 日に予定されているアプリケーションと脅威 (コンテンツ) の更新前に、必ず修正を適用してください