脆弱性防御プロファイルのアクションについて

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

Vulnerability Profile Actions

https://live.paloaltonetworks.com/t5/Management-Articles/Vulnerability-Profile-Actions/ta-p/61708

 

 

この資料では、脆弱性防御プロファイルで利用できる様々なアクションについて説明します。アクションはセキュリティ プロファイルの各ルールや、特定の脅威IDの例外に対して指定することができます。

 

アクションの種類(訳注) アクション 対象 アクションの詳細

Default

(デフォルト)

重大度に基づいた定義済みのアクション ルール 脅威ごとに選択された定義済みのアクションが適用されます。

Allow

(許可)

セッションは許可するが、脅威ログに記録しない

          ルール      

脅威ログに記録しないように、イベント用の例外を作成することができます。
Alert セッションを許可し、脅威ログに記録する ルール 重大度に関係なく、すべての脅威に対してログが有効になります。

Block

(ブロック)

セッションのすべてのパケットを破棄する ルール パケットが破棄されます。TCPは再度パケットを転送しようとしますが、再度破棄される点にご注意ください。実質的に、セッションそのものが遮断されます。

reset-server

RSTパケットをサーバーに送信する 例外 パケットは破棄され、TCPリセットがTCP コネクションのサーバー側に送信されます。

reset-both

RSTパケットをクライアントとサーバーに送信する 例外 パケットは破棄され、TCPリセットがクライアントとサーバーの両方に送信されます。

reset-client

RSTパケットをクライアントに送信する 例外 パケットは破棄され、TCPリセットがTCPコネクションのクライアント側に送られます。
drop-all-packets セッションのすべてのパケットを破棄する 例外 セッションに対してのすべてのパケットが破棄されます。

drop

特定のパケットを破棄する 例外 特定のパケットが破棄されます。TCPは再度パケットを転送しようとしますが、再度破棄される点にご注意ください。実質的に、セッションそのものが遮断されます。

block-ip

送信元IPアドレスからのすべてのパケットを破棄する 例外

ある送信元IPアドレスから送られてきた、特定の期間のすべてのセッションが遮断されます。

 

*「セッション」という言葉は、プロトコルがUDPの時のファイアウォール テーブルへの参照という意味で使用されています。

 

* 脅威ログに記録されるアクションは、プロトコルよっては脅威シグネチャ毎の既定のアクションの定義とは異なる場合があります。例えば"drop"がセキュリティ プロファイルに設定されている場合、TCPセッションでは"drop-all-packets"、UDPセッションでは"drop"がアクション欄に記録されます。

 

訳注:括弧内はWeb UIで言語の表記を日本語にした際の表記です。

 

著者:jjosephs