Administración de alto riesgo y otras categorías centradas en la seguridad URL

Administración de alto riesgo y otras categorías centradas en la seguridad URL

39864
Created On 08/04/21 17:03 PM - Last Modified 05/31/23 19:49 PM


Symptom


No se recomienda bloquear la categoría de alto URL riesgo, ya que muchos sitios se establecerán temporalmente en alto riesgo pero no son malintencionados.

Environment


Cualquiera firewall con filtrado y URL OS >= 9.0

Resolution



Para las categorías Alta y Media la acción recomendada es Alertar.
  1. Esto no bloqueará el tráfico, pero registrará el sitio si hay una necesidad de volver atrás y ver lo que sucedió.
  2. Se recomienda alertar, aplicar SSL el descifrado para aumentar la visibilidad, establecer un perfil de prevención de amenazas mucho más estricto y bloquear las descargas de archivos peligrosos (IP, PowerShell, etc.) desde sitios de alto riesgo.
  3. Además, es posible que desee aumentar el registro para obtener información adicional.

Los sitios de alto riesgo incluyen:
  • Sitios previamente confirmados como sitios de malware, phishing o C2 que solo han mostrado actividad benigna durante al menos 30 días.
  • Los dominios desconocidos se clasifican como de alto riesgo hasta PAN-DB que se completa el análisis y la categorización del sitio.
  • Sitios que están asociados con actividad maliciosa confirmada. Por ejemplo, una página puede ser de alto riesgo si hay hosts malintencionados en el mismo dominio, incluso si la propia página no contiene contenido malintencionado.
  • Sitios alojados a prueba de ISP- balas.
  • Sitios hospedados en direcciones IP de ASN que se sabe que permiten contenido malintencionado.
Predeterminado y recomendado Policy Acción: Alerta
Si se bloquea un sitio de alto riesgo, es posible que se necesite una lista de excepciones o una lista de permitidos para el sitio ocasional que se clasifica como de alto riesgo, pero que aún se necesita acceso.

Los sitios de riesgo medio incluyen:
  • Todos los sitios de almacenamiento en la nube (con la URL categoría online-storage-and-backup).
  • Sitios previamente confirmados como sitios de malware, phishing o C2 que solo han mostrado actividad benigna durante al menos 60 días.
  • Las IP direcciones desconocidas se clasifican como de riesgo medio hasta PAN-DB que se completa el análisis y la categorización del sitio.
Predeterminado y recomendado Policy Acción: Alerta


los sitios de bajoriesgo
de bajo riesgo son los más comunes y por lo general será la categoría vista. Normalmente no hay ninguna razón para registrar estos sitios, por lo que permitir es la configuración recomendada.
  • Los sitios que no son de riesgo medio o alto se consideran de bajo riesgo. Estos sitios han mostrado actividad benigna por un mínimo de 90 días.
Predeterminado y recomendado Policy Acción: Permitir

dominios recién registrados Los dominios 
recién registrados son con frecuencia malware o maliciosos, esta es la única categoría secundaria que debe bloquearse.
  • Identifica los sitios que se han registrado en los últimos 32 días. Los nuevos dominios se utilizan con frecuencia como herramientas en campañas maliciosas.
Por defecto Policy Acción: Alerta
recomendada Policy Acción: Bloquear
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oMOjCAM&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language