管理高风险和其他以安全为重点的 URL 类别

管理高风险和其他以安全为重点的 URL 类别

39775
Created On 08/04/21 17:03 PM - Last Modified 01/12/24 14:58 PM


Symptom


不建议阻止高风险 URL 类别,因为许多网站将暂时设置为高风险,但不恶意。

Environment


任何 firewall 具有 URL 过滤和 OS >= 9.0

Resolution



对于高和中等类别,建议的操作是"警报"。
  1. 这不会阻止流量,但如果需要返回并查看发生了什么,它将记录网站。
  2. 建议提醒、执行 SSL 解密以提高可见性、设置更严格的威胁预防配置文件以及阻止从高风险站点下载危险文件(PEs、PowerShell 等)。
  3. 此外,您可能希望增加日志记录以提供额外的见解。

高风险网站包括:
  • 以前被确认为恶意软件、网络钓鱼或 C2 站点的站点仅显示良性活动至少 30 天。
  • 未知域被归类为高风险,直到 PAN-DB 完成站点分析和分类。
  • 与已确认的恶意活动相关的网站。 例如,如果同一域上存在恶意主机,即使页面本身不包含恶意内容,页面也可能具有高风险。
  • 防弹 ISP- 托管站点。
  • 在 ASN 的 IP 上托管的网站已知允许恶意内容。
默认和推荐 Policy 操作: 警报
如果高风险站点被阻止,则偶尔被归类为高风险但仍需要访问的站点可能需要例外列表或允许列表。

中等风险网站包括:
  • 所有云存储站点(具有 URL 在线存储和备份类别)。
  • 以前被确认为恶意软件、网络钓鱼或 C2 站点的站点仅显示良性活动至少 60 天。
  • 未知 IP 地址被归类为中等风险,直到 PAN-DB 完成站点分析和分类。
默认和推荐 Policy 操作: 警报


低风险低风险
网站是最常见的,通常将被视为类别。 通常没有理由记录这些网站,因此允许推荐的设置。
  • 不是中高风险或高风险的站点被视为低风险。 这些网站至少90天表现出良性活动。
默认和推荐 Policy 操作: 允许

新注册域 
新注册域经常是恶意软件或恶意域,这是唯一应该阻止的次要类别。
  • 识别在过去 32 天内注册的站点。 新域经常用作恶意营销活动中的工具。
默认值 Policy 操作:警报
推荐 Policy 操作: 阻止
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oMOjCAM&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language