FC2ブログ

下流ネットワークエンジニアの生活

上流工程を夢見る下流工程のネットワークエンジニアがネットワーク技術や資格、身の回りのことを情報発信! Juniper Cisco YAMAHA DELL D-Link AlaxalA F5 CCNA CCNP CCIE ネットワークスペシャリスト

指定期間 の記事一覧

PaloAlto 脆弱性プロファイルで特定のIPアドレスを除外する方法 CLI

2018.06.13 (Wed)


私の環境では、Threatログにて頻繁に以下のログが記録される。

HTTP OPTIONS Method(30520)
Suspicious TLS Evasion Found(14978)


キャプチャデータを確認して問題ない通信であることを確認したので、
特定のIPアドレスに関しては脆弱性プロファイルを除外したいと思い、
設定方法を調査したのでメモ。















○除外したいIP
10.0.0.3
10.0.0.4


○コンフィグ
admin@PA-220-1> configure
admin@PA-220-1# set profiles vulnerability except-30520 threat-exception 30520 exempt-ip 10.0.0.3
admin@PA-220-1# set profiles vulnerability except-30520 threat-exception 30520 exempt-ip 10.0.0.4
admin@PA-220-1# set profiles vulnerability except-14978 threat-exception 14978 exempt-ip 10.0.0.3
admin@PA-220-1# set profiles vulnerability except-14978 threat-exception 14978 exempt-ip 10.0.0.4
admin@PA-220-1# commit



○確認
admin@PA-220-1# show profiles vulnerability except-30520 threat-exception

threat-exception {
30520 {
exempt-ip {
10.0.0.3;
10.0.0.4;
}
}
}





○その他

vulnerabilityだけではなく、
spywareやvirusも同様に除外が可能。


また、vsys環境の場合は、コマンドが少し異なる。
setとprofilesに間に「vsys vsys名」が入る。

例)
set vsys vsys1 profiles vulnerability except-30520 threat-exception 30520 exempt-ip 10.0.0.3









スポンサーサイト



PaloAlto Threatログの概要を調べるコマンド PAN-OS 7.1 CLI

2018.06.09 (Sat)

まずは、
show log threatコマンドで、Threatログを確認する。



admin@PA-1(active-primary)> show log threat
Time App From Src Port Source
Rule Action To Dst Port Destination
Severity Src User Dst User Threat Pcap_id
==========================================================================================
2018/03/03 09:00:00 web-browsing trust 54458 10.0.234.2
rule1 alert untrust 80 72.246.189.11
info Suspicious HTTP Evasion Found(14984) 0
2018/03/03 09:01:02 google-base trust 56133 10.3.234.155
rule1 alert untrust 443 172.217.27.78
info Suspicious TLS Evasion Found(14978) 0












ここで必要となる情報が、
「Suspicious HTTP Evasion Found(14984)」中の「14984」という数字。



この数字を以下のコマンドに当てはめると、
以下の様に検知したThreatログの概要が表示される。



admin@PA-1(active-primary)> show threat id 14984

Possible policy evasion attempt through a specially crafted HTTP request.


informational
spyware
==========================================================================










PaloAlto 管理者アカウント関連 show admins コマンド PAN-OS 7.1 CLI

2018.06.08 (Fri)



show adminsコマンドの候補


admin@PA-1(active-primary)> show admins ?
+ all All administrators
| Pipe through a command
Finish input













◯現在ログイン中のアカウント


admin@PA-1(active-primary)> show admins

Admin From Client Session-start Idle-for
--------------------------------------------------------------------------
admin 172.16.10.234 CLI 06/07 13:29:25 00:00:00s






◯定義されているアカウント


admin@PA-1(active-primary)> show admins all

admin
read-user
operator










 | HOME |  Next »