Comment fonctionne la URL fonctionnalité de filtrage en ligne ML ?

Pourquoi le verdict en URL ligne ML est-il toujours inconnu?

PAN-OS >= 10,0.
Licence de filtrage actif PAN-DB URL .

La URL fonctionnalité de filtrage en ligne ML a été ajoutée à PanOS dans la version 10.0 du logiciel et fonctionne avec URL le filtrage (PanDB) pour inspecter les URL qui correspondent à des critères spécifiques.

Lorsqu’une HTTP demande est envoyée à partir d’un client, le profil de filtrage inspecte le trafic et l’action URL associée à la demande est effectuée. Lorsque le serveur répond à la demande, la configuration, lorsqu’elle est activée et que les critères spécifiques sont remplis, est utilisée pour inspecter la réponse et l’action correspondante MLAV affecte cette partie de la MLAV session, comme le montrent les exemples1 et exemple2.

C’est la raison de l’entrée de journal qui est ensuite suivie de l’entrée URL d’action MLAV dans le URL journal de filtrage. En outre, MLAV n'a pas de page de blocage désignée. Ainsi, pour l' MLAV action de blocage, vous verrez soit une page de réinitialisation, soit une page partielle qui ne contient pas de contenu malveillant.

Exemple 1 :

Exemple 2 :

 

Si le profil de filtrage (la catégorie PanDB normale ou la catégorie personnalisée/prédéfinieURL) bloque le dans la HTTP requête, le ne voit jamais le URL URL paquet de réponse du serveur et l’inspection firewall n’a MLAV jamais lieu.

Le n’analysera firewall pas toutes les URL par rapport au MLAV cloud. Le firewall fait un peu de « pré-filtrage » qui permet d’éviter les recherches inutiles. PAN-DB a une réponse d’indicateur spécifique pour ces types d’enregistrements MLAV et, en tant que tel, le n’exécutera firewall pas la fonctionnalité en ligne ML dans ces instances. Le résultat de cette interaction entre l’inspection en ligne et la réponse du drapeau PanDB donne un verdict « Inconnu » dans l’analyse en ligne ML ML.MLAV

MLAV fonctionne en plus de PAN-DB, ce qui signifie qu’il ne se concentre pas sur toutes les URL inspectées. Les critères d’inspection MLAV d’un URL sont les suivants.

• Effet de levier App-ID pour inspecter uniquement le trafic Web (navigation Web)
• Exclure le contenu malveillant connu (PAN-DB ou MLAV) et les sites connus à faible risque
• Inclure les sites inconnus et les sites bénins qui ont déjà été classés comme présentant un risque moyen ou élevé

A doit identifier l’application « navigation sur le Web » et doit URL être catégorisée comme « Inconnue » ou avoir une catégorie bénigne avec un niveau de risque « Moyen ou PAN-DB Élevé » pour MLAV ensuite prendre des mesures et inspecter le URL en temps réel.

Si vous configurez la fonctionnalité de filtrage d'URL en ligne ML et que vous voyez l'entrée de journal où seul le verdict « Inconnu » est visible dans «  » (non suivi de « phishing » ou « INLINE ML VERDICTmalicious-javascript ») comme le montre Example3,MLAV n'a rien trouvé de URL suspect et de malveillant dans le site et le site n'a pas été marqué comme phishing ou malveillant-javascript par MLAV.Il s’agit notamment des sites dont le contenu malveillant est connu (sites classés comme tels dans PAN-DB) et des sites classés dans l’une des catégories « bénignes » et qui présentent également une catégorisation

« faible ». Exemple 3 :