Wie funktioniert die URL Inline-Filterfunktion ML ?

Warum ist das URL Inline-Urteil ML immer unbekannt?

PAN-OS >= 10,0.
Lizenz für die PAN-DB URL aktive Filterung.

Die URL Funktion "Inline-Filterung ML " wurde in der Softwareversion 10.0 zu PanOS hinzugefügt und arbeitet mit URL der Filterung (PanDB) zusammen, um URLs zu untersuchen, die bestimmten Kriterien entsprechen.

Wenn eine HTTP Anforderung von einem Client gesendet wird, überprüft das URL Filterprofil den Datenverkehr, und die mit der Anforderung verknüpfte Aktion wird ausgeführt. Wenn der Server auf die Anforderung antwortet, wird die Konfiguration, wenn sie aktiviert ist und die spezifischen Kriterien erfüllt sind, verwendet, um die Antwort zu überprüfen, und die MLAV entsprechende MLAV Aktion wirkt sich auf diesen Teil der Sitzung aus, wie example1 und example2 zeigen.

Dies ist der Grund für den Protokolleintrag, auf den URL dann der MLAV Aktionseintrag im URL Filterprotokoll folgt. MLAV Hat auch keine festgelegte Blockseite. Für die Sperraktion sehen Sie also entweder eine Seite zum Zurücksetzen oder eine Teilseite, die MLAV keine bösartigen Inhalte enthält.

Beispiel 1:

Beispiel 2:

 

Wenn das Filterprofil (entweder die normale PanDB-Kategorie oder die benutzerdefinierte/vordefinierte URL Kategorie) die in der HTTP Anfrage blockiert, firewall wird das URL Antwortpaket vom Server nie angezeigt und die URL MLAV Überprüfung findet nie statt.

Es firewall werden nicht alle URLs in der Cloud gescannt MLAV . Das firewall führt eine "Vorfilterung" durch, die hilft, unnötige Suchvorgänge zu vermeiden. PAN-DB hat eine bestimmte MLAV Flagantwort für diese Arten von Datensätzen, firewall und als solche wird die Inline-Funktion ML in diesen Fällen nicht ausgeführt. Das Ergebnis dieser Interaktion zwischen der Inline-Inspektion und der PanDB-Flag-Antwort ergibt in der Inline-Analyse ML MLAV ML das Urteil "Unbekannt".

MLAV funktioniert zusätzlich zu PAN-DB, was bedeutet, dass es sich nicht auf alle überprüften URLs konzentriert. Die Kriterien für MLAV die Inspektion eines sind URL wie folgt.

• Hebelwirkung App- um nur den Webverkehr zu überprüfen (Web-BrowsingID )
• Ausschließen bekannter schädlicher Inhalte (PAN-DB oder MLAV) und bekannter Websites mit geringem Risiko
• Unbekannte Websites und gutartige Websites einschließen, die zuvor mit mittlerem oder hohem Risiko kategorisiert wurden

A Die Sitzung muss die "Web-Browsing"-Anwendung identifizieren und entweder URL als "Unbekannt" kategorisiert sein oder eine gutartige Kategorie mit einem Risikoniveau von "Mittel oder Hoch" PAN-DB haben, um MLAV dann Maßnahmen zu ergreifen und die URL Anwendung in Echtzeit zu überprüfen.

Wenn Sie die Inline-Funktion ML zum Filtern von URLs konfigurieren und den URL Protokolleintrag sehen, in dem das Urteil "Unbekannt" nur in "" angezeigt wird (gefolgt von "Phishing" oder "INLINE ML VERDICTmalicious-javascript"), wie Beispiel 3 zeigt,MLAV hat nichts Verdächtiges und Bösartiges auf der Website gefunden und die Website wurde nicht von MLAVals Phishing oder bösartiges Javascript markiert.Dazu gehören Websites mit bekanntem bösartigem Inhalt (Websites, die als solche kategorisiert sind in PAN-DB) und Websites, die mit einer der Kategorien "Gutartig" kategorisiert sind und ebenfalls eine Risikokategorisierung "Gering" aufweisen.

Beispiel 3: