Applicationフィールドの Not-Applicable、Incomplete、Insufficient Data

※この記事は以下の記事の日本語訳です。
Not-Applicable, Incomplete, Insufficient Data in the Application Field
https://live.paloaltonetworks.com/t5/Management-Articles/Not-Applicable-Incomplete-Insufficient-Data...

概要

このドキュメントは、Applicationフィールドに見られる様々な項目について記述することを目的としています。

Incomplete

Imcomplete は 3 ウェイ TCP ハンドシェイクが完了しなかった、もしくは 3 ウェイ TCP ハンドシェイクは完了したがその後アプリケーションを特定するデータの送受信が無かったことを意味します。つまり、確認されたトラフィックが実際にアプリケーションではなかったことを意味します。

例えば、クライアントがサーバーに SYN を送信し、Palo Alto Networks デバイスがその SYNに対してセッションを生成したが、サーバーが一度もクライアントに SYN ACKを返信しない場合、そのセッションは incomplete となります。

Insufficient data

Insufficient data はアプリケーションを特定するための十分なデータが無いことを意味します。例えば、3 ウェイ TCPハンドシェイクが完了した後、1個のデータパケットの送受信があったが、その1個のデータパケットのみでは判定に不十分で、Palo Alto Networksのシグニチャのいづれにもマッチしなかった場合、Trafficログの Applicationフィールドに Insufficient dataが確認できます。

Unknown-tcp

Unknown-tcpは ファイアウォールが 3 ウェイ TCPハンドシェイクを確認したがアプリケーションを特定できなかったことを意味します。これは ファイアウォールが該当するシグニチャを持たないカスタム アプリケーションを使用していることによると考えられます。

Unknown-udp

Unknown-udpは未知のUDPトラフィックにより生成されます。

Unknown-p2p

Unknown-p2p は一般的な P2P ヒューリスティックに該当します。

Not-applicable

Not-applicable は、トラフィックが着信したポート／サービスが許可されていないために破棄されるデータを、Palo Alto デバイスが受信したこと、もしくは、そのポートまたはサービスを許可するルールやポリシーが無いことを意味します。
例えば、Palo Alto デバイスにルールが1つだけ設定されていて、そのルールが ポート／サービス 80番のみ使用する Web-browsingのアプリケーションのみを許可しており、かつ、トラフィック (Web-browsing またはそれ以外のいかなるアプリケーション) が 80番以外のポート／サービスを使用して Palo Altoデバイスに送信された場合、そのトラフィックは破棄またはドロップされ、Applicationフィールドに "not-applicable" が記録されたセッションが確認できます。