WAAS Policy Konfiguration (Brute-Force) und Port-Scanning

WAAS Policy Konfiguration (Brute-Force) und Port-Scanning

4151
Created On 04/16/23 18:06 PM - Last Modified 07/11/24 16:26 PM


Question


  1. Hat WAAS Prisma Compute die Fähigkeit, Brute-Force-Angriffe zu erkennen?Wenn ja, wie kann man diese Erkennung aktivieren und Regeln erstellen, um sie zu erkennen/zu verhindern?
  2. Hat WAAS Prisma Compute die Möglichkeit, Port-Scan-Versuche zu erkennen? (von einem externen Host aus ausführen, um nach offenen Ports zu suchen)

Environment


  • Prisma Cloud Compute - Selbst gehostet und SaaS
  • Anwendungshost/-container

Answer


  • Ja, hat die Fähigkeit, WAAS einen Brute-Force-Angriff zu erkennen und vor ihm zu schützen. Ich zitiere nun aus der Brute-Force-Dokumentation:

"A Brute-Force-Vorfall zeigt eine Kombination von Audit-Ereignissen, die darauf hindeuten, dass eine geschützte Ressource potenziell von einem DoS-Versuch betroffen ist"

Dies bedeutet, dass ein Brute-Force-Angriff Teil des DoS-Schutzes ist, da die Art beider Angriffe ähnlich ist. Es gibt mehrere Möglichkeiten, sich vor Brute-Force-/DoS-Angriffen zu schützen, eine davon ist die Ratenbegrenzung, bei der Benutzer den DoS-Schutz so einstellen können, dass Ratenbeschränkungen wie Burst-Rate und Durchschnittsrate erzwungen werden.Benutzer können Übereinstimmungsbedingungen für qualifizierende Anforderungen angeben, die in die Zählung einbezogen werden sollen. Übereinstimmungsbedingungen basieren auf HTTP Methoden, Dateierweiterungen und HTTP Antwortcodes. Darüber hinaus können Benutzer die erweiterten Einstellungen im DoS-Schutz verwenden. Beispielsweise können Benutzer Schwellenwerte für POST Anforderungen anwenden, die mit HTTP einem Statuscode im Bereich von 300 bis 599 resultieren. DoS-Schutzaktionen ermöglichen es Ihnen, entweder eine Warnung zu erhalten oder die Anforderung basierend auf Ihrer policy Konfiguration zu sperren.

  • Nein, Port-Scanning ist keine Aktivität im Geltungsbereich von WAAS (Da WAAS es sich um einen Layer-7-Schutz handelt). Prisma Compute ist jedoch in der Lage, offene/hörende Ports zu erkennen.Port-Scan-Vorfälle deuten darauf hin, dass ein Container versucht, eine ungewöhnliche Anzahl von ausgehenden Netzwerkverbindungen zu Hosts und Ports herzustellen, mit denen er normalerweise keine Verbindung herstellt.
Um Port-Scan-Versuche von außen zu erkennen, haben wir außerdem Anomalierichtlinien in Compute, die helfen können, ungewöhnliche Netzwerk- und Benutzeraktivitäten für alle Benutzer zu identifizieren. Mit diesen Richtlinien können Sie Port-Scan-/Sweep-Aktivitäten erkennen, die einen Server oder Host auf offene Ports untersuchen.
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kHgbCAE&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language