Gestion des catégories à risque élevé et d’autres catégories axées sur la sécurité URL

Gestion des catégories à risque élevé et d’autres catégories axées sur la sécurité URL

39862
Created On 08/04/21 17:03 PM - Last Modified 01/12/24 14:58 PM


Symptom


Le blocage de la catégorie à haut risque URL n’est pas recommandé car de nombreux sites seront temporairement définis sur un risque élevé, mais ne sont pas malveillants.

Environment


Tout firewall avec filtrage et > = URL OS 9.0

Resolution



Pour les catégories Élevée et Moyenne, l’action recommandée consiste à alerter.
  1. Cela ne bloquera pas le trafic, mais il enregistrera le site s’il est nécessaire de revenir en arrière et de voir ce qui s’est passé.
  2. Il est recommandé d’alerter, SSL d’appliquer le déchiffrement pour une visibilité accrue, de définir un profil de prévention des menaces beaucoup plus strict et de bloquer les téléchargements de fichiers dangereux (PEs, PowerShell, etc.) à partir de sites à haut risque.
  3. En outre, vous pouvez augmenter l’enregistrement pour plus d’informations.

Les sites à risque élevé comprennent :
  • Sites précédemment confirmés comme des sites malveillants, de phishing ou de C2 qui n’affichent qu’une activité bénigne depuis au moins 30 jours.
  • Les domaines inconnus sont classés comme étant à risque élevé jusqu’à ce que PAN-DB l’analyse et la catégorisation du site soient terminées.
  • Sites associés à une activité malveillante confirmée. Par exemple, une page peut être à haut risque s’il existe des hôtes malveillants sur le même domaine, même si la page elle-même ne contient pas de contenu malveillant.
  • Sites hébergés à l’épreuve des ISP- balles.
  • Sites hébergés sur des adresses IP à partir d’ASN connus pour autoriser le contenu malveillant.
Par défaut et recommandé Policy Action : Alerte
Si un site à haut risque est bloqué, une liste d’exceptions ou une liste verte peut être nécessaire pour le site occasionnel qui est classé comme à haut risque, mais l’accès est toujours nécessaire.

Les sites à risque moyen comprennent :
  • Tous les sites de stockage en nuage (avec la URL catégorie stockage et sauvegarde en ligne).
  • Sites précédemment confirmés comme des sites malveillants, de phishing ou de C2 qui n’affichent qu’une activité bénigne depuis au moins 60 jours.
  • Les IP adresses inconnues sont classées dans la catégorie des adresses à risque moyen jusqu’à ce que PAN-DB l’analyse et la catégorisation du site soient terminées.
Par défaut et recommandé Policy Mesure à prendre : Les


sitesà faible risque
d’alerte sont les plus courants et seront généralement la catégorie observée. Il n’y a normalement aucune raison d’enregistrer ces sites, donc autoriser est le paramètre recommandé.
  • Les sites qui ne présentent pas un risque moyen ou élevé sont considérés comme à faible risque. Ces sites ont montré l’activité bénigne pendant un minimum de 90 jours.
Par défaut et recommandé Policy Action: Autoriser les

domaines nouvellement enregistrés Lesdomaines 
nouvellement enregistrés sont fréquemment des logiciels malveillants ou malveillants, Il s’agit de la seule catégorie secondaire qui doit être bloquée.
  • Identifie les sites qui ont été enregistrés au cours des 32 derniers jours. Les nouveaux domaines sont fréquemment utilisés comme outils dans les campagnes malveillantes.
Par défaut Policy Action : Alerte
Action recommandée Policy : Bloquer
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oMOjCAM&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language