Management von hohen Risiken und anderen sicherheitsorientierten URL Kategorien

Management von hohen Risiken und anderen sicherheitsorientierten URL Kategorien

39864
Created On 08/04/21 17:03 PM - Last Modified 05/31/23 19:49 PM


Symptom


Das Blockieren der Kategorie "Hohes URL Risiko" wird nicht empfohlen, da viele Websites vorübergehend auf hohes Risiko eingestellt sind, aber nicht bösartig sind.

Environment


Alle firewall mit URL Filterung und > = OS 9,0

Resolution



Für die Kategorien "Hoch" und "Mittel" wird die Aktion "Warnung" empfohlen.
  1. Dies blockiert nicht den Verkehr, aber es wird die Website protokolliert, wenn es notwendig ist, zurückzugehen und zu sehen, was passiert ist.
  2. Es wird empfohlen, Warnungen zu erstellen, SSL die Entschlüsselung für eine erhöhte Sichtbarkeit zu erzwingen, ein viel strengeres Bedrohungsabwehrprofil festzulegen und Downloads gefährlicher Dateien (PEs, PowerShell usw.) von Websites mit hohem Risiko zu blockieren.
  3. Darüber hinaus können Sie die Protokollierung erhöhen, um zusätzliche Einblicke zu erhalten.

Zu den Standorten mit hohem Risiko gehören:
  • Websites, die zuvor als Malware-, Phishing- oder C2-Websites bestätigt wurden, die seit mindestens 30 Tagen nur gutartige Aktivitäten anzeigen.
  • Unbekannte Domains werden als risikoreich eingestuft, bis PAN-DB die Website-Analyse und -Kategorisierung abgeschlossen ist.
  • Websites, die mit bestätigten bösartigen Aktivitäten in Verbindung gebracht werden. Beispielsweise kann eine Seite ein hohes Risiko darstellen, wenn sich in derselben Domäne schädliche Hosts befinden, auch wenn die Seite selbst keine schädlichen Inhalte enthält.
  • Kugelsicher ISP- gehostete Websites.
  • Websites, die auf IPs von ASNs gehostet werden, von denen bekannt ist, dass sie bösartige Inhalte zulassen.
Standard und Empfohlen Policy Aktion: Warnung
Wenn eine Website mit hohem Risiko blockiert wird, ist möglicherweise eine Ausnahmeliste oder Eine Zulassungsliste für die gelegentliche Website erforderlich, die als Website mit hohem Risiko eingestuft wird, aber dennoch Zugriff erforderlich ist.

Zu den Standorten mit mittlerem Risiko gehören:
  • Alle Cloud-Speicherseiten (mit der URL Kategorie Online-Speicher und Backup).
  • Websites, die zuvor als Malware, Phishing oder C2-Websites bestätigt wurden, die seit mindestens 60 Tagen nur gutartige Aktivitäten anzeigen.
  • Unbekannte IP Adressen werden als mittelgefährdet eingestuft, bis die PAN-DB Standortanalyse und -kategorisierung abgeschlossen ist.
Standard und Empfohlen Policy Aktion: Warnung


Low-Risk
Low-Risk-Websites sind die häufigsten und werden in der Regel die Kategorie gesehen. Normalerweise gibt es keinen Grund, diese Websites zu protokollieren, daher ist zulassen die empfohlene Einstellung.
  • Websites, die kein mittleres oder hohes Risiko aufweisen, gelten als geringes Risiko. Diese Seiten haben seit mindestens 90 Tagen eine gutartige Aktivität gezeigt.
Standard und Empfohlen Policy Aktion: Neu

registrierte Domains 
zulassen Neu registrierte Domains sind häufig Malwareoder bösartig, Dies ist die einzige sekundäre Kategorie, die blockiert werden sollte.
  • Identifiziert Websites, die innerhalb der letzten 32 Tage registriert wurden. Neue Domains werden häufig als Werkzeuge in bösartigen Kampagnen verwendet.
Standard Policy Aktion: Warnung
Empfohlene Policy Aktion: Blockieren
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oMOjCAM&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language