Quelle est l’action recommandée pour les URL de catégorie à haut risque ?
Question
Quelle est l’action recommandée pour les URL avec une catégorie bénigne et une catégorie de risque « élevé » ?
Environment
- Palo Alto Firewall avec une licence de filtrage valide URL
- PAN-OS 9.1 et versions ultérieures
Answer
La catégorie « à haut risque » est une catégorie non malveillante qui sert d'indicateur des associations malveillantes récentes d'un URL. Comme il s'agit d'une catégorie non malveillante, il n'est pas recommandé de bloquer l'accès aux URLs/domaines classés comme à haut risque.
Les « Meilleures pratiques » pour la configuration d’un URL profil de filtrage indiquent que les 11 catégories suivantes doivent être définies sur l’action de blocage :
- commande et contrôle
- violation du droit d’auteur
- dns dynamique
- extrémisme
- Malware
- phishing
- proxy-évitement-et-anonymiseurs
- inconnu
- domaine nouvellement enregistré
- Grayware
- garé
Créez des profils de sécurité des meilleures pratiques pour la passerelle Internet
https://docs.paloaltonetworks.com/best-practices/10-1/internet-gateway-best-practices/best-practice-internet-gateway-security-/create-best-practice-security-profilespolicy.html
Les directives indiquent également que les catégories restantes doivent être définies sur Alerte.
-Extrait du lien ci-dessus:
“In addition to blocking known bad categories, alert on all other categories, so you have visibility into the sites your users are visiting”
L’action d’alerte s’applique également à la catégorie « Risque élevé » puisqu’il s’agit d’une catégorie non malveillante basée sur nos bonnes pratiques recommandées. Le lien suivant explique pourquoi l’action d’alerte est recommandée pour les URL de catégorie « à haut risque ».
Gestion des catégories d’URL à haut risque et autres catégories d’URL axées sur la sécurité
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oMOjCAM-Extraits
de ce qui URL précède :
“Blocking High-risk URL category is not recommended as many sites will temporarily be set to high risk but are not malicious.” … “If a high-risk site is blocked then an exception list or allow-list may be needed for the occasional site that does get categorized as high risk but access is still needed.”
Si c'est une organisation policy qui bloque la catégorie « Risque élevé », URL il est recommandé de configurer un objet de catégorie personnalisé URL pour contourner la catégorie PanDB pour le URL.
Créer une catégorie personnalisée URL
https://docs.paloaltonetworks.com/pan-os/10-1/pan-os-admin/url-filtering/custom-url-categories.html