如何URL过滤内联ML专题工作?
Question
为什么是URL排队ML判决总是未知数?
Environment
PAN-OS >= 10.0。
积极的PAN-DB URL过滤许可证。
Answer
这URL过滤内联ML功能在软件版本 10.0 中添加到 PanOS 并且它适用于URL过滤 (PanDB) 以检查符合特定条件的 URL。
当一个HTTP请求是从客户端发送的,URL过滤配置文件检查流量,并采取与请求相关的操作。 当服务器回复请求时,MLAV配置,当启用并满足特定条件时,用于检查回复和相应的MLAV如 example1 和 example2 所示,操作会影响会话的这一部分。
这就是URL日志条目,然后是MLAV中的动作条目URL过滤日志。 还,MLAV没有指定的阻止页面。 所以,对于MLAV阻止操作,您将看到重置页面或不包含恶意内容的部分页面。
示例 1:
例子2:
如果URL过滤配置文件(普通 PanDB 类别或自定义/预定义URL类别)阻止URL在里面HTTP要求,firewall永远不会看到来自服务器的响应数据包和MLAV检查永远不会发生。
这firewall不会扫描所有 URLMLAV云。 这firewall做一些“预过滤”,有助于避免不必要的查找。 PAN-DB 有一个特定的MLAV标记对这些类型的记录的响应,因此,firewall不会运行内联ML在这些情况下的功能。 内联之间这种交互的结果ML检查和 PanDBMLAV标志响应在内联中产生“未知”的结论ML分析。
MLAV 除了PAN-DB,这意味着它不会关注所有检查的 URL。 的标准MLAV检查一个URL如下面所述。
- 杠杆作用App-ID仅检查网络流量(网络浏览)
- 排除已知的恶意内容,(PAN-DB或者MLAV), 以及低风险的知名站点
- 包括以前被归类为中等或高风险的未知站点和良性站点
A session 必须标识“web-browsing”应用程序和URL必须被归类为“未知”PAN-DB或具有风险级别为“中等或高”的良性类别MLAV然后采取行动并检查URL实时。
如果您配置内联 url 过滤ML功能,您会看到URL仅在“中看到“未知”判决的日志条目INLINE ML VERDICT”(后面没有“网络钓鱼”或“恶意 javascript”),如示例 3 所示,MLAV未在该站点中发现任何可疑和恶意的内容,并且该站点未被标记为网络钓鱼或恶意 javascriptMLAV .这些包括具有已知恶意内容的站点(在PAN-DB) 和属于“良性”类别之一且也具有“低”风险类别的站点。
示例 3: