ナレッジドキュメント

本ガイドにて、 GlobalProtect の設定方法をご紹介します。   GlobalProtect には以下のような特徴があり、それぞれの設定と動作確認の方法を記載しています。   1 リモートアクセス VPN (IPSec または SSL) 2 ユーザー識別 ( リモートアクセス VPN 時だけでなく、社内 LAN でも ) 3 クライアント証明書の発行・認証・失効管理 ( 認証局サーバーとの連携 ) 4 ワンタイムパスワード認証 (OTP サーバーとの連携 ) 5 検疫: Host Information Profile(HIP) でのアクセス制御 ( アンチウィルスの有無、 HDD 暗号化の有無等で制御 )   PA Firewall の機能と共に GlobalProtect を使うことで、外部からのリモートアクセス機能だけでなく、社内 LAN における ユーザー識別や検疫が可能となるので、 PA Firewall をより有効に、より強力にご利用いただくことができます。   本ガイドを弊社提供の正式ドキュメントと併用して頂き、新規設置作業や日々の運用時の設定変更作業時の参考ドキュメ ントとしてご活用ください。   ※ ) 本ガイドは、以下の OS バージョンを利用しています。 PAN-OS: 8.1.7 GP Agent : 4.1.10 (Windows & macOS) 5.0.5 (iOS & Android) 適用する OS バージョンが異なる場合は、該当する OS のドキュメントを参照してください。
記事全体を表示
Masahiko ‎08-02-2019 01:07 AM
1,404件の閲覧回数
1 Reply
2 Likes
本文書では"次世代ファイアウォール トラブルシューティングセミナー (情報収集編) "(コースコード:JPN-001)でご紹介するリンクをまとめています。   はじめに:設定での注意点 運用上注意して頂きたいこと: ダイナミック更新の時間設定(1/3)   RECOMMENDED UPDATE INTERVAL AND TIMINGS FOR DYNAMIC UPDATES https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClaECAS   運用上注意していただきたいこと:“Abnormal system memory usage detected, …”   Managing Botnet Reports https://docs.paloaltonetworks.com/pan-os/9-0/pan-os-web-interface-help/monitor/monitor-botnet/managing-botnet-reportshttps://www.paloaltonetworks.com/documentation/80/pan-os/web-interface-help/monitor/monitor-botnet/managing-botnet-reports   Disable Predefined Reports https://docs.paloaltonetworks.com/pan-os/9-0/pan-os-admin/monitoring/view-and-manage-reports/disable-predefined-reports   Tips & Tricks: Reducing Management Plane Load https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClSvCAK   Tips & Tricks: Reducing Management Plane Load—Part 2 https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClU4CAK   運用上注意していただきたいこと:HAスプリット ブレイン抑止(2/2)   Configuration Guidelines for Active/Passive HA Active/Passive HAで推奨される設定のガイドライン https://docs.paloaltonetworks.com/pan-os/9-0/pan-os-admin/high-availability/set-up-activepassive-ha/configuration-guidelines-for-activepassive-ha.html スプリット ブレインに関連したナレッジ   DotW: What is Peer-Split-Brain? https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClSuCAK How To Avoid HA Split-Brain due to Missed Heartbeats https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClrpCAC   運用上注意していただきたいこと:ディスク容量不足による問題   Software Upgrade Problems on PA-200 Devices https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CloMCAS How and When to Clear Disk Space on the Palo Alto Networks Device https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClaJCAS Delete MP and DP logs on 6.1 and later without Root Access https://live.paloaltonetworks.com/t5/Internal-Knowledge-Base/Delete-MP-and-DP-logs-on-6-1-and-later-without-Root-Access/ta-p/70757   運用上注意していただきたいこと: URLフィルタリングのアスタリスク表現   Nested Wildcard(*) in URLs May Severely Affect Performance https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CluFCAS   障害発生時の情報収集   ケース スタディ   Case1 Kernel Panicの確認   http://www.sophia-it.com/content/カーネルパニック https://en.wikipedia.org/wiki/Kernel_panic   解析結果   Hardware Reference https://docs.paloaltonetworks.com/hardware   Case 2   TCP SYN Flood Attack TCP/IP に係る既知の脆弱性に関する調査報告書 https://www.ipa.go.jp/security/vuln/vuln_TCPIP.html 4 stages captureの注意点 GETTING STARTED: PACKET CAPTURE https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClTJCA0   Case 3 解析結果 Threat Prevention Deployment Tech Note https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClOCCA0   Case 4 Step1 Dataplaneの負荷に関連したナレッジ How to Interpret: show running resource-monitor https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClXwCAK TROUBLESHOOTING SLOWNESS WITH TRAFFIC, MANAGEMENT https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cld9CAC   Case 5 対応についての補足(Cont.) Palo Alto Networks Support Software Release Guidance https://live.paloaltonetworks.com/t5/Product-Updates-and-New-Feature/Palo-Alto-Networks-Support-Software-Release-Guidance/ta-p/154892/jump-to/first-unread-message Case 7 High Availability High Availability Active / Passive (v4.0.x) https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm0SCAS     Case 8   Step 1 Palo Alto Networks Firewallのセッションについて(日本語) https://live.paloaltonetworks.com/t5/ナレッジドキュメント/Palo-Alto-Networks-Firewallのセッションについて/ta-p/76651 Palo Alto Networks Firewall Session Overview(英語) https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVECA0   Step 3 Packet Capture 、Debug Flow-basic および Counter コマンド(日本語) https://live.paloaltonetworks.com/t5/ナレッジドキュメント/Packet-Capture-Debug-Flow-basic-および-Counter-コマンド/ta-p/96104 Packet Capture, Debug Flow-basic and Counter Commands(英語) https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Clf1CAC   障害発生時の情報収集(パケット ドロップ)   参考:セッション Palo Alto Networks Firewallのセッションについて(日本語) https://live.paloaltonetworks.com/t5/ナレッジドキュメント/Palo-Alto-Networks-Firewallのセッションについて/ta-p/76651 Palo Alto Networks Firewall Session Overview(英語) https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVECA0     確認事項 2(Cont.) Understanding DoS Logs and Counters https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClOKCA0   障害発生時の情報収集(Anti Virusシグニチャ誤検知)   Anti Virusの誤検知   アンチウイルス シグネチャ誤検知 (false positive) の対応方法 https://live.paloaltonetworks.com/t5/テクニカル ドキュメント/アンチウイルス-シグネチャ-誤検知-false-positive-の対応方法/ta-p/79747 How to submit an Anti-Virus false positive(英語版) https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm3aCAC   Step 3   Get-FileHash(PowerShellで使用可能) https://msdn.microsoft.com/en-us/powershell/reference/5.1/microsoft.powershell.utility/get-filehash       障害申告にあたって   Appendix 1. Tech Support File詳細 opt以下の主なファイル Packet Capture 、Debug Flow-basic および Counter コマンド(日本語) https://live.paloaltonetworks.com/t5/ナレッジドキュメント/Packet-Capture-Debug-Flow-basic-および-Counter-コマンド/ta-p/96104 Packet Capture, Debug Flow-basic and Counter Commands(英語) https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Clf1CAC     Appendix 2. Tech Support Fileとは別に採取するログ   Appendix 3. トラブルシューティングに有用なナレッジ   Global Protect Troubleshooting GlobalProtect https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClkBCAS GlobalProtect resource list https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClfXCAS Basic GlobalProtect Configuration with On-Demand https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClH2CAK Basic GlobalProtect Configuration with User-logon https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClHdCAK Basic GlobalProtect Configuration with Pre-logon https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClEYCA0 Certificate config for GlobalProtect - (SSL/TLS, Client cert profiles, client/machine cert) https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFoCAK   SSL Decryption How to Identify Root Cause for SSL Decryption Failure Issues https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CloUCAS SSL復号化失敗の原因について確認する方法(日本語) https://live.paloaltonetworks.com/t5/ナレッジドキュメント/SSL復号化失敗の原因について確認する方法/ta-p/96658 How to Implement and Test SSL Decryption https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClEZCA0 SSL Decryption設定と試験方法(日本語) https://live.paloaltonetworks.com/t5/ナレッジドキュメント/ Decryption設定と試験方法/ta-p/76526 SSL decryption resource list https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClgHCAS   User-ID Troubleshooting User-ID: Group and User-to-IP Mapping https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cli5CAC User-ID のトラブルシューティング:グループとユーザ-IP とのマッピング(日本語) https://live.paloaltonetworks.com/t5/ナレッジドキュメント/User-ID のトラブルシューティング-グループとユーザ-IP とのマッピング/ta-p/96013 Getting Started: User-ID https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClRyCAK Best Practices for Securing User-ID Deployments https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVPCA0 安全な User-ID 展開のためのベスト プラクティス(日本語) https://live.paloaltonetworks.com/t5/ナレッジドキュメント/安全な-User-ID-展開のためのベスト-プラクティス/ta-p/78356 User-ID resource list https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm5bCAC   Appendix 4. Palo Alto Networks製品に関する情報収集方法 サポート情報の入手方法①   サポート サイト https://www.paloaltonetworks.jp/services/support テクニカル ドキュメント https://www.paloaltonetworks.com/documentation ナレッジ(Live Community) https://live.paloaltonetworks.com/welcome   サポート情報の入手方法②   Japan Live Community https://live.paloaltonetworks.com/t5/Japan-Live-Community/ct-p/LiveJP   サポート情報の入手方法③   "次世代ファイアウォール トラブルシューティングセミナー (情報収集編) "(コースコード:JPN-001) リンク集 https://live.paloaltonetworks.com/t5/ナレッジドキュメント/quot-次世代ファイアウォール-トラブルシューティングセミナー-情報収集編-quot-コースコード-JPN-001-リンク集/ta-p/190548   他のセミナー、トレーニングなど   UPCOMING EVENTS https://events.paloaltonetworks.com/ehome/event-calendar   各種トレーニング   Home > サービス > 教育サービス > 概要 https://www.paloaltonetworks.jp/services/education      
記事全体を表示
TShimizu ‎07-16-2019 08:43 PM
7,060件の閲覧回数
0 Replies
1 Like
概要: Traps 環境にウイルス対策ソフトウェアを導入して利用する場合に、ウイルススキャンの除外設定を行うべきパスについて記載いたします。 再検知あるいは競合等の予期しない問題を避けるためにこれらの項目の除外設定をご実施ください。   対象とする Traps のバージョン: Traps Version 3.4.x ,4.0.x, および 4.1.x.   設定: A. cyinjct.# (Trapsエージェント) C:\windows\temp\フォルダに存在します。 (#)は数字になります。 WildCard指定が出来ることを前提とした場合、C:\windows\temp\cyinjct.* のような形式で除外の指定を行ってください。   B. DLL ファイル(Trapsエージェント) "system32" および "sysWOW64" (64 Bit OSの場合) フォルダに存在します。 a. Cyvrtrap.dll (system32 および SysWOW64) b. Cyverau.dll (system32 および SysWOW64) c. Cyvera.dll (system32 および SysWOW64) d. Cyinjct.dll (system32 および SysWOW64) e. ntnativeapi.dll (system32 および SysWOW64)   C. パスによる除外 (TrapsエージェントおよびESMサーバー) a. C:\Program Files\Palo Alto Networks* b. C:\ProgramData\Cyvera* ※ ESMサーバーの場合、ESM Consoleインストール時に指定したフォレンジックフォルダを除外してください。 既定のパスは以下です。 C:\Program Files\Palo Alto Networks\Quarantine\*   D. SQL サーバーの除外設定 SQL Server のバージョンやインストール時に指定したインスタンス名により、フォルダ名が異なります。   a. SQL Server データベース C:\Program Files\Microsoft SQL Server\MSSQL<バージョン ナンバー>.<インスタンス名>\MSSQL\DATA b. SQL Server ログファイル C:\Program Files\Microsoft SQL Server\MSSQL<バージョン ナンバー>.<インスタンス名>\MSSQL\Log ※ 必要に応じて以下の拡張子についても追加で除外してください。データベースファイル及びログファイルを含みます。 MDF LDF   以上となります。
記事全体を表示
hsasaki ‎02-12-2019 04:32 PM
10,803件の閲覧回数
0 Replies
1 Like
※この記事は以下の記事の日本語訳です。 How to Allow a Single YouTube Video and Block All Other Videos https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGzCAK     1 つの YouTube 動画へのアクセスのみ許可し、それ以外の動画は全てブロックする方法 この記事は、1つのYouTube動画(https://www.youtube.com/watch?v=hHiRb8t2hLM)へのアクセスのみ許可し、それ以外の動画のアクセスは拒否したい場合の例です。 これを達成するには、以下の手順に従ってください。   手順 URL フィルタリングプロファイルにて、streaming-mediaをブロックに設定してください。WebGUI > Objects > セキュリティ プロファイル > URL フィルタリング > 利用したい URL フィルタリングプロファイルをクリックします。 これはURL フィルタリングプロファイルでstreaming-mediaをブロックに設定した際の画面です。   Objects > カスタム オブジェクト > URL カテゴリ から、カスタム URL カテゴリを作成します。 カスタム URL カテゴリには以下のエントリを追加する必要があります。   *.youtube.com *.googlevideo.com www.youtube-nocookie.com www.youtube.com/yts/jsbin/ www.youtube.com/yts/cssbin/   これですべてのYouTubeページやコンテンツが復号化され、完全なHTTP GETが取得できるようになります。   「SSL フォワードプロキシ」タイプの復号ポリシーを追加し、その「サービス/URL カテゴリ」に、上記で追加したカスタムURLカテゴリを設定します。 SSL 復号に関しては、以下の記事を参照してください。 How to Implement and Test SSL Decryption URL フィルタリングプロファイルに移動し、以下のURLを許可リストに追加します。   www.youtube.com/watch?v=hHiRb8t2hLM *.googlevideo.com   1つ目のエントリはコンテナページ自体のURL、2つ目の *.googlevideo.comは、*.googlevideo.com の Google CDN で表示されるコンテナページから取得されるメディアを許可します。   また、URLフィルタリングプロファイル上で、作成したカスタムURLカテゴリが"allow"になっていることを確認してください。 これはURLフィルタリングプロファイルで許可リストを設定した際の画面です。   Commitを実行し、動作をテストします。   Milvaldiの貢献に感謝します。   注:この手順はこの記事が発行された時点では有効でしたが、YouTubeはサーバーの設定を絶えず変更しているため、今後動作しなくなる可能性もあります。   著者: jdelio  
記事全体を表示
hfukasawa ‎12-21-2018 02:50 AM
6,292件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Check if an Application Needs Explicitly Allowed Dependency Apps https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Check-if-an-Application-Needs-Explicitly-Allowed/ta-p/61893     PAN-OS 5.0, 6.0, 6.1   概要 PAN-OS 5.0 以前は、依存関係を持つアプリケーションを許可するために、セキュリティポリシー上ですべての依存関係をもつアプリケーションを同様に許可する必要がありました。   PAN-OS 5.0 より、いくつかのプロトコルのアプリケーションは明示的に依存関係を可能にするために必要とせずに許可することができます。Palo Alto Networks ファイアウォールは、ライブセッションで事前定義された特徴を持つのアプリケーションを識別することができれば、いくつかのアプリケーションに対してこれを実施できます。Palo Alto Networks デバイスが事前に定義された特徴によってアプリケーションを決定することができないようデベロッパーによって作成されている場合、そのアプリケーションはセキュリティルールの一つによって遮断することができます。これらのアプリケーションには依存関係を持つアプリケーションの明示的な許可が必要とされます。   ここではこのプロセスを説明するために、以下の用語を適用します: イネーブラーアプリ (Enabler app) :セッションが最初に一致するApp-ID (例. web-browsing) 従属アプリ (Dependent app) :セッションがあとで一致するApp-ID (例. facebook-base)   注: アプリケーションを許可する場合は、常に依存関係を確認してください。また、正しいポリシーを作成することができるよう、依存アプリケーションで暗黙的に使用されるアプリケーションもチェックしてください。   詳細 正しくライブセッションで事前に決定ポイントで特定することができる上記のアプリケーションでは、ファイアウォールは、暗黙的にイネーブラアプリを許可します。このためにファイアウォールはアプリケーションのコンテンツアップデートのメタデータの一部である “uses-apps” と “implicit-uses-apps” を使用します。 “implicit-uses-apps” のアプリリストを持っているアプリケーションの場合、それらのアプリケーションは暗黙的に許可されるため、別途許可するためのセキュリティルールは必要ありません。   アプリケーション定義の一部として “uses-apps” のアプリリストを持ち、“implicit-uses-apps” アプリのリストを持っていないアプリケーションの場合、依存するアプリケーションを許可するために、明示的にそれら(イネーブラーアプリケーション)を許可する必要があります。これは、別のセキュリティルールとして追加することも、同じルールに設定して依存するアプリケーションを許可することもできます。   アプリケーション定義で、明示的にイネーブラアプリケーションを許可する必要があるかどうかをチェックすることができます。コンフィギュレーションモードから次のコマンドを実行します。 # show predefined application <name-of-app>   手順 この例として、ここでは "facebook-base" と "office-on-demand" を使用します。   Facebook-base アプリケーション定義: # show predefined application facebook-base facebook-base {   ottawa-name facebook;   category collaboration;   subcategory social-networking;   technology browser-based;   description "......THIS PART IS OMITTED..... ";   alg no;   appident yes;   vulnerability-ident yes;   evasive-behavior no; consume-big-bandwidth no;   used-by-malware yes; able-to-transfer-file yes; has-known-vulnerability yes; tunnel-other-application yes;   prone-to-misuse no;   pervasive-use yes;   per-direction-regex no;   deny-action drop-reset;   run-decoder no;   cachable no;   references {     Wikipedia {       link http://en.wikipedia.org/wiki/Facebook;     }   }   default {     port tcp/80,443;   }   use-applications [ ssl web-browsing];   tunnel-applications [ facebook-apps facebook-chat facebook-file-sharing facebook-mail facebook-posting facebook-social-plugin instagram] ; implicit-use-applications [ ssl web-browsing];   applicable-decoders http;   risk 4; application-container facebook; } [edit]   facebook-base を許可するには、facebook-base アプリケーションを持つセキュリティポリシーのみが必要です。アプリケーション定義内の以下の部分に基づいて暗黙的に許可されているため、SSLやWebブラウジングを可能にする必要はありません: "use-applications [ ssl web-browsing]; implicit-use-applications [ ssl web-browsing];"   "facebook-base" のために、"facebook-base" だけを許可する "allow-facebook" のセキュリティルールがあります。web-browsing や ssl を許可する明示的なルールはありません。逆にテストの目的で、web-browsing や ssl を拒否ルールが使用されます:   ログで facebook が許可されているのが表示されます:   Office-on-demand アプリケーション定義: # show predefined application office-on-demand office-on-demand {   category business-systems;   subcategory office-programs;   technology browser-based;   description "......THIS PART IS OMITTED..... ";   alg no;   appident yes;   virus-ident yes;   spyware-ident yes;   file-type-ident yes;   vulnerability-ident yes;   evasive-behavior no; consume-big-bandwidth yes;   used-by-malware no; able-to-transfer-file yes; has-known-vulnerability yes;   tunnel-other-application no;   prone-to-misuse no;   pervasive-use yes;   per-direction-regex no;   deny-action drop-reset;   run-decoder no;   cachable no;   file-forward yes;   references {     "Office on Demand" {       link http://office.microsoft.com/en-us/support/use-office-on-any-pc-with-office-on-demand-HA102840202.aspx;     }   }   default {     port tcp/80;   }   use-applications [ ms-office365-base sharepoint-online ssl web-browsing];   applicable-decoders http;   risk 3; application-container ms-office365; } [edit]    office-on-demand 場合、 use-applications [ ms-office365-base sharepoint-online ssl web-browsing] が見られ、 implicit-use-applications のリストがありません。 これは、office-on-demand のすべての機能が正しく動作するように、リスト内のすべてのアプリケーションを明示的に許可する必要があることを意味します。 web-browsing や office-on-demand として許可されたトラフィックを見ることができます。アプリケーションはweb-browsing としてスタートし、Palo Alto Networks DFAにより正しく確認され、これにより "office-on-demand" に変更されます。   もし web がセキュリティポリシーで拒否されている場合、office-on-demand のアプリケーションを許可するルールにヒットしないため、接続が確立されていないように見えます。   owner: ialeksov
記事全体を表示
dyamada ‎11-28-2018 09:01 PM
14,234件の閲覧回数
2 Replies
[ This document is written in Japanese. ]   PAN-DB のカテゴリリストです。   URLカテゴリ名 カテゴリ説明 サイト例 備考 Abortion (人口中絶) 中絶に反対または賛成、中絶手続きに関する詳細、中絶を援助またはサポートするフォーラムに関する情報やグループのサイト、中絶推進の結果/効果に関する情報を提供するサイト。 www.prochoiceamerica.org , www.abortbypill.com   Abused Drugs (乱用薬物) 合法および非合法を問わず薬の乱用を促進するサイト、薬物関連の道具の使用や販売、薬の製造や販売に関連するサイト。 www.bombshock.com , www.friendsofcannibas.com   Adult (アダルト) 性的に露骨な内容、文章(言葉を含む)、芸術、または本質的に性的表現がきわどい製品、オンライングループやフォーラム。ビデオチャット、エスコートサービス、ストリップクラブを含むアダルトサービスを宣伝するサイト。 ゲームやコミックであれアダルトコンテンツを含むものはすべてadultにカテゴリ化される。 www.playboyplus.com , www.furrytofurry.com   Alcohol and Tobacco (アルコールとタバコ) アルコールやたばこ製品、関連用品の販売、製造、使用に関連するサイト。 www.wine.com , www.thompsoncigars.com , www.cigarsinternational.com , www.thegoodwineguru.com , www.webtender.com   Auctions (オークション) 個人間での商品売買を促進するサイト。 www.ebay.com   Business and Economy (ビジネスと経済) マーケティング、経営、経済、起業や事業経営に関するサイト。 広告・マーケティング企業も含まれます。企業サイトは、各企業の分野で分類されるべきで、このカテゴリに含むべきではない。fedex.comやups.comといった運送サイトが含まれる。 http://cox.netとhttp://directv.comはケーブル会社であり、"business and economy" でなければならない(タイムワーナーケーブルとコムキャストも同様)。ストリーミング用に個別のサイトがある場合(コムキャストではxfinity.comcast.net)、"streaming media" カテゴリとする。 www.bothsidesofthetable.com/ , www.ogilvy.com , www.geisheker.com/ , www.imageworksstudio.com/ , www.linearcreative.com/   Command and Contorol (コマンド&コントロール) マルウェアに使用されているURLやドメイン、もしくは攻撃者のリモートサーバーから不正なコマンドや意図しないデータを受け取るなどマルウェアに感染しているシステム     Computer and Internet Info (コンピュータとインターネット情報) コンピュータとインターネットに関する一般的な情報。 コンピュータサイエンス、エンジニアリグ、ハードウェア、ソフトウェア、セキュリティ、プログラミングなどに関するサイトも含まれる。プログラミングはreferenceと重複するかもしれないが、メインカテゴリはcomputer and internet infoとなる。 www.redhat.com , www.freebsd.org , www.microsoft.com , www.symantec.com , www.oreilly.com , www.build-your-own-computers.com , www.alexa.com   Content Delivery Networks (コンテンツ配信ネットワーク) 広告、メディア、ファイルなどのようなコンテンツを第三者に配信することを主に行うサイト。 画像サーバを含む。 www.netdna.com , www.edgecast.com   Copyright infringement (著作権侵害) 著作権を侵害したビデオや映画、その他のメディアファイルをダウンロードにより提供する専用のウェブサイトやサービス。 www.moviexk.net   Dating (出会い系) 出会い系、オンラインデートサービス、アドバイス、その他個人的な広告を提供するウェブサイト。 www.match.com , www.eharmony.com , www.okcupid.com   Dynamic DNS (ダイナミックDNS) 提供されたまたは動的なドメイン名とIPアドレスを関連付けるためにダイナミックDNSサービスを利用しているサイト。 ダイナミックDNSサイトは、サイバー攻撃者に対するC&C通信および、他の悪意のある目的のために使用される場合がある。 no-ip.com dyndns.org   Educational Institutions (教育機関) 学校、短期大学、大学、学区、オンラインクラス、その他の学術機関用の公式Webサイト。 小学校、高校、大学など大規模な制定された教育機関を指す。個別指導塾もこのカテゴリとなる。 www.ucla.edu , www.phoenix.edu , www.sfusd.edu   Entertainment and Arts (娯楽と芸術) 映画、テレビ、ラジオ、ビデオ、プログラミングガイド・ツール、マンガ、芸能、博物館、アートギャラリーのサイト。エンターテインメント、有名人、業界のニュースに関するサイトも含まれる。 www.variety.com , www.tmz.com , www.moma.org   Extremism (過激主義・思想) テロや人種差別、ファシズムや人種、異なる民族的背景、宗教や信仰を判別する過激主義・思想を促進するウェブサイト。     Financial Services (金融サービス) オンラインバンキング、ローン、住宅ローン、債務管理、クレジットカード会社、保険会社などの個人金融情報やアドバイスに関するWebサイト。株式市場、証券会社、取引サービスに関するサイトは含まれない。外国為替取引関連サイトを含む。 www.chase.com , www.bofa.com , www.salliemae.com   Gambling (ギャンブル) 本物または仮想のお金の交換を容易にする宝くじやギャンブルのWebサイト。賭けのオッズやプールに関する情報、ギャンブルに関する指導や助言を提供するサイト。ギャンブルを行わないホテルやカジノの企業サイトはTravelにカテゴリ化される。 www.fulltiltpoker.com , www.vegasbettinglines.com   Games (ゲーム) ビデオやコンピュータゲームをオンライン再生やダウンロードできるサイト、ゲーム批評、ヒント、裏技を提供するサイト。非電子ゲームの教育、ボードゲームの販売や交換、関連する出版物やメディアに関するサイト。オンライン懸賞や景品を扱うサイトを含む。 www.gamespot.com , www.xbox360.ign.com , www.1up.com   Government (政治) 地方自治体、州政府、国家政府の公式Webサイト。関係機関、サービス、法律に関するサイトを含む。 公共図書館は除く。 www.ca.gov , www.sfgov.org , www.dmv.ca.gov   Hacking (ハッキング) 通信機器やソフトウェアに対して、違法または疑わしいアクセスや利用に関するサイト。ネットワークやシステムが侵害される可能性のあるプログラムの開発や配布、手順の助言やヒントに関するサイト。また、ライセンスやデジタル著作権システムをバイパスさせるサイトも含まれる。 www.hackspc.com , www.hackthissite.org   Health and Medicine (健康と医療) 一般的な健康に関する情報、問題、伝統医学や現代医学の助言、治癒、治療に関する情報を含むサイト。さまざまな医療分野、慣行、設備、専門家のためのサイトが含まれる。医療保険、美容整形に関するサイトも含まれる。 動物病院を含む。 www.kaiserpermanente.org , www.webmd.com , www.24hourfitness.com   Home and Garden (住まいと庭) 住まいの修繕や管理、建築、設計、建設、装飾、ガーデニングに関する情報、製品、サービスを提供するサイト。 www.bhg.com , www.homedepot.com   Hunting and Fishing (ハンティングとフィッシング) 狩猟や釣りの情報、説明、販売、関連装置や関連用品に関するサイト。 www.wildlifelicense.com , www.outdoorlife.com   Insufficient content (識別困難なWebサイト) テストページやコンテンツが存在しない場合やユーザ向けではないAPIアクセス用のサイト、コンテンツの表示に認証必要などカテゴリ分類が困難なWebサイト。     Internet Communications and Telephony (インターネット通信と電話) ビデオチャット、インスタントメッセージ、電話機能のサービスをサポートまたは提供するサイト。 www.skype.com   Internet Portals (ポータルサイト) 通常、広範なコンテンツやトピックをまとめることでユーザーに対して開始点となるサービスを提供するサイト。 www.yahoo.com , www.qq.com   Job Search (職探し) 求人情報や雇用評価、面接のアドバイスやヒント、雇用主と候補者の両方に対する関連サービスに関するサイト。 www.monster.com , www.linkedin.com/jobs   Legal (法律) 法律、法律サービス、法律事務所、その他法律関連の問題に関する情報、分析、助言に関するサイト。 www.probono.net , www.childlaw.org , www.litigationweb.com   Malware (マルウェア) 悪意あるコンテンツ、実行可能ファイル、スクリプト、ウイルス、トロイの木馬、コードを含むサイト。     Military (軍事) 軍事部門、軍人募集、現在や過去の作戦、関連道具に関する情報や解説のサイト。 www.goarmy.com , www.pentagon.mil   Motor Vehicles (モータービークル) 自動車、オートバイ、ボート、トラック、RVに関して批評、販売、取引、改造、部品、その他関連する議論に関する情報。 www.edmunds.com , www.carfax.com , www.audi.com   Music (音楽) 音楽の販売、配布、情報に関するサイト。音楽アーティスト、グループ、レーベル、イベント、歌詞、音楽ビジネスに関するその他の情報に関するWebサイトを含む。 ストリーミング音楽は含まない。 www.U2.com , www.itunes.com   News (ニュース) オンライン出版物、ニュースワイヤー(オンラインでニュースを送受信するシステム)サービス、その他、現在のイベント、天候、時事問題を集約したサイト。新聞、ラジオ局、雑誌、ポッドキャストを含む。 reddit, delicious, diggのようなソーシャルブックマークサイトを含む。 www.reuters.com , www.abcnews.com , www.weather.com   Not-resolved (未解決) 対象のURLがローカルURLフィルタリングデータベースに存在せず、ファイアウォールがクラウドのデータベースへ接続できない場合。     Nudity (裸体) 作品として性的な意図や意味があるかによらず、人体のヌードやセミヌードを含むサイト。参加者の画像を含むヌーディストやヌーディストサイトも含まれる。 www.nudistbeaches.nl , www.fineartnude.com   Online Storage and Backup (オンラインストレージとバックアップ) ファイルの無料オンラインストレージをサービスとして提供するWebサイト。 flickr.comやshutterfly.comのような写真共有サイトを含む。 www.dropbox.com , www.box.net   Parked (パークドメイン) 限られたコンテンツやクリックスルー広告をホストするURL。ホストに対して収入を生むことがあるが、一般にはエンドユーザにとって有用なコンテンツやサイトが含まれていない。工事中のサイトやフォルダのみのページを含む。 www.parked.com   Peer-to-Peer (ピアツーピア) ターゲットファイルへのデータ、ダウンロードしたプログラム、メディアファイル、その他ソフトウェアアプリケーションへのピアツーピア共有アクセスまたはクライアントを提供するサイト。 シェアウェアやフリーウェアサイトは含まない。bittorrentダウンロード機能を持つサイトが主に含まれる。 www.thepiratebay.org , www.emule-project.net , www.bitcomet.com   Personal Sites and Blogs (個人サイトとブログ) 個人やグループによる、私的なWebサイトやブログ。 最初のコンテンツに基づいて分類されるべき。たとえば誰かがクルマについてのブログを持っている場合は、そのサイトは"motor vehicles"に分類されるべきである。サイトが純粋なブログである場合は、" Personal Sites and Blogs " となります。 www.blogspot.com , www.wordpress.com , www.greatamericanphotocontest.com   Philosophy and Political Advocacy (哲学と政策支援) 哲学や政治的見解に関する情報、視点やキャンペーンを含むサイト。 www.protectmarriage.com , www.bradycampaign.org   Phishing (フィッシング) フィッシングやファーミングによりユーザーから個人情報を取得する、見かけ上は信頼できそうなサイト。     Private IP Addresses (プライベートIPアドレス) このカテゴリにはRFC1918 "Address Allocation for Private Intranets" で定義されたIPアドレスを含む。 10.0.0.0 - 10.255.255.255 (10/8 プレフィックス) 172.16.0.0 - 172.31.255.255 (172.16/12 プレフィックス) 192.168.0.0 - 192.168.255.255 (192.168/16 プレフィックス) 169.254.0.0 - 169.254.255.255 (169.254/16 プレフィックス) また*.localのような公共のDNSシステムに登録されていないドメインが含まれる。     Proxy Avoidance and Anonymizers (プロキシ回避と匿名プロキシ) プロキシサーバやその他方式でURLフィルタリングやURL監視をバイパスするサイト。 www.proxify.com , www.proxy-anonymizer.com   Questionable (疑わしいサイト) 下品なユーモア、特定層の個人やグループをターゲットにした不快なコンテンツ、犯罪行為、違法行為、手早く金持ちになれる、といったものを含むサイト。 www.collegehumor.com , www.holytaco.com   Real Estate (不動産) 不動産賃貸、販売、関連する助言や情報に関するサイト。不動産業者、企業、レンタルサービス、不動産情報、リフォーム関連のサイトが含まれる。 www.realtor.com , www.redfin.com , www.prudentialproperties.com   Recreation and Hobbies (レクリエーションと趣味) レクリエーションや趣味に関する情報、フォーラム、団体、グループ、および出版に関するサイト。 www.cross-stitching.com , www.modelplanes.com   Reference and Research (参考と調査) 個人、専門家、学術系のリファレンスポータル、コンテンツ、サービス。オンライン辞書、地図、年間、国勢調査、図書館、系譜、科学情報が含まれる。 公共図書館であれば.govで終わるサイトも含む。 www.wikipedia.org , www.reference.com , www.m-w.com   Religion (宗教) 各種宗教、関連活動やイベントに関する情報。宗教団体、関係者や礼拝場所に関するWebサイトを含む。 占星術、星占い、占いに関するサイトを含む。 www.vatican.va , www.sjkoreancatholic.org , www.biblesociety.ca   Search Engines (サーチエンジン) キーワード、フレーズ、その他パラメータを使用して検索インタフェースを提供するサイト。検索結果として情報、ウェブサイト、画像、ファイルを返す。 www.google.com , www.baidu.com   Sex Education (性教育) ⽣殖、性的発育、安全な性⾏為慣⾏、性病、避妊、より良いセックスに関する情報、関連する製品や道具に関する情報。関係するグループ、フォーラムや組織のためのウェブサイトを含む。 www.plannedparenthood.org , www.sexandahealthieryou.org   Shareware and Freeware (シェアウェアとフリーウェア) 無料または寄付を受け付けるソフトウェア、スクリーンセーバー、アイコン、壁紙、ユーティリティ、着メロ、テーマ、ウィジットへのアクセスを提供するサイト。また、オープンソースプロジェクトが含まれる。 www.download.com , www.sourceforge.net   Shopping (ショッピング) 商品やサービスの購入を促進するサイト。オンライン小売業者、百貨店、小売店、カタログ販売のWebサイト、価格を集約してモニタするサイトも含まれる。 ここに記載されているサイトは、さまざまな商品を販売するオンライン商店、または主な目的がオンラインセールスです。オンライン購入を可能にする化粧品会社のWebページはcosmeticsではなくshoppingに分類される。 食料品店のサイトも含まれる。 ポイントを商品と交換するサイトも含まれる。 www.amazon.com , www.pricegrabber.com , www.lightningdrops.com   Social Networking (ソーシャルネットワーキング) ユーザーが互いにメッセージや写真を投稿したり、人々のグループとコミュニケーションしたりするユーザーコミュニティやサイト。ブログや個人サイトは含まれない。 www.facebook.com , www.twitter.com , www.linkedin.com   Society (社会) 一般住民に関連するトピック、ファッション、美容、慈善団体、社会、または子供など多種多様な人々に影響のある論点に関するサイト。 子供向けに作成されたWebサイトを含む。 薬物依存、性的中毒、ギャンブルなどの相談サービスに特化したWebサイトを含む。 レストラン、UFOに関するサイトを含む。 www.style.com , www.redcross.org   Sports (スポーツ) スポーツイベント、選手、コーチ、関係者、チームや団体、スポーツのスコア、スケジュール、関連ニュース、関連用具に関する情報。ファンタジースポーツや仮想スポーツリーグに関するサイトも含まれる。 ペイントボールや各種武道といったスポーツも含まれる。 www.espn.com , www.nba.com , www.fantasysports.yahoo.com   Stock Advice and Tools (株式情報とツール) 株式市場に関する情報、株式やオプション取引、ポートフォリオ管理、投資戦略、相場、関連ニュースに関する情報。 www.thestreet.com , www.cramers-mad-money.com   Streaming Media (ストリーミングメディア) 無料または有料のストリームオーディオまたはストリームビデオコンテンツサイト。テレビ局のWebサイトはentertainment and artsにカテゴリ化される。 オンラインラジオ局やその他ストリーミング音楽サービスを含む。 www.hulu.com , www.youtube.com , www.pandora.com , www.spotify.com , www.grooveshark.com   Swimsuits and Intimate Apparel (水着と下着) 水着や下着、その他きわどい衣服の情報や画像を含むサイト www.victoriassecret.com , www.brazilianswimwear.com   Training and Tools (トレーニングとツール) オンライン教育とトレーニング、関連資料を提供するサイト。 自動車教習所、職業研修などを含めることができる。学習塾や試験対策は技術的にはtraining and tools となる。 www.directdegree.com , www.trafficschoolonline.com   Translation (翻訳サイト) ユーザー入力やURL翻訳の両方を含む翻訳サービスを提供するサイト。これらサイトは、目的ページのコンテンツが翻訳URLの一部に表示されるものとして、ユーザーにフィルタリング回避させることもできます。 www.translate.google.com , www.microsofttranslator.com , www.babelfish.yahoo.com   Travel (旅行) 旅行の助言、お得な情報、価格情報、旅先情報、観光、関連サービスに関する情報のサイト。ホテル、現地の観光スポット、カジノ、航空会社、クルージング、旅行代理店、レンタカーに関して価格情報や予約ツールを提供するサイトを含む。 エッフェル塔、グランドキャニオン、テーマパーク、動物園、国立公園などの現地観光スポットに関するサイトを含む。タクシー会社を含む。 www.kayak.com , www.farecompare.com , www.jetblue.com   Unknow (不明) まだカテゴライズされていないためにファイアウォールもしくはクラウドのURLデータベースに存在しないWebサイト。     Weapons (武器) 兵器やその使用に関する、販売、批評、説明、取扱のサイト。 www.israeli-weapons.com , www.nunchuckguy.com   Web Advertisements (ウェブ広告) 広告、メディア、コンテンツ、バナーが含まれる。 www.webtraffic2night.com , www.doubleclick.net   Web Hosting (ウェブホスティング) Web開発、出版、販売促進、トラフィックを増やすためのその他方法に関する情報を含む、無料または有料のWebページのホスティングサービス。 www.godaddy.com , www.fatcow.com   Web-based Email (ウェブメール) 電子メールの受信ボックスへのアクセスを与えるか、電子メールを送受信できるWebサイト。 www.hotmail.com , www.mail.google.com      
記事全体を表示
kmiwa ‎11-12-2018 11:03 PM
29,340件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Create a New Customer Support Portal User https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClNPCA0     スーパーユーザーは新しいCSPユーザーを作成することができ、このユーザーをアカウントのメンバーとして追加することができます。 カスタマー サポート ポータルにログインします ( https://support.paloaltonetworks.com )。 現在使用しているアカウントが、資産を所有しているアカウントであることを確認します。資産を所有しているアカウントではない場合、"Current Account"メニューをクリックし、正しいアカウントを選択します。管理しているアカウント数が多い場合は、検索することができます。 "Members"の項目を展開し、"Create New User"をクリックします。 ユーザー登録フォームに記入します。 "Submit"ボタンをクリックします。 新しいユーザーアカウントが作成され、ユーザーはアカウントのメンバーとして追加されます。ユーザーの役割については以下をご覧ください。Support Portal User Role Matrix Eメールがログインする際の資格情報と共に新規ユーザー宛てに送られます。   スーパーユーザーは、新規ユーザーがアカウントにログインすることのできるリンクを作成することもできます。How to Use the Account Registration Link     著:panagent
記事全体を表示
hshirai ‎11-08-2018 12:10 AM
3,904件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Viewing the configuration in set and XML format https://live.paloaltonetworks.com/t5/Configuration-Articles/Viewing-the-configuration-in-set-and-XML-format/ta-p/65757   対象 PAN-OS: 5.0, 6.0, 6.1(訳注 8.1.3でも同様の動作をすることを確認しています。)   概要 この文書はPalo Alto Networksファイアウォールにて、CLIから設定を"set"や"xml"フォーマットで閲覧する方法を記載します。   手順 それぞれのフォーマットで設定を閲覧するために、以下のコマンドを実行します。 "set" フォーマット: > set cli config-output-format set "xml" フォーマット: > set cli config-output-format xml 設定モードに入ります。 > configure 設定全体を確認するにはshowを入力します。show network interfaceのように、一部のコンポーネント部分のみを閲覧することも可能です。 注: 必ずしもshowの出力順どおりにコマンドを実行できるとは限りません。先に表示されたコマンドは後に定義されている箇所を参照する場合もありえます。   以下の例は"set" フォーマットで設定を閲覧する方法の例です。 > set cli config-output-format set > configure Entering configuration mode [edit] # show set mgt-config devices localhost.localdomain ip 127.0.0.1 set mgt-config user admin phash fnRL/G5lXVMug set mgt-config user admin permissions role-based superuser yes   set zone L3-Trust network layer3 ethernet1/3 set zone L3-Trust network layer3 ethernet1/4 set zone L3-Trust network layer3 ethernet1/5 set zone L3-Trust enable-user-identification no   set rulebase security rules rule1 from any set rulebase security rules rule1 to any set rulebase security rules rule1 source any set rulebase security rules rule1 destination any set rulebase security rules rule1 service any set rulebase security rules rule1 application any set rulebase security rules rule1 action allow ... 著者: panagent  
記事全体を表示
TShimizu ‎10-11-2018 07:21 PM
5,904件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 GLOBALPROTECT: ONE-TIME PASSWORD-BASED TWO FACTOR AUTHENTICATION https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm8ICAS     原文はSivasekharan   Rajasekaranによるものです。 @ srajasekar   背景   企業では社内リソースへのアクセスの許可のために、ワンタイム パスワード(OTP)のような、より強力な認証手段が求められています。OTPベースの認証を要求することで、企業は攻撃者が不正にユーザーの資格情報を入手したり、承認されないアクセスをすることを防ぐことができます。しかしOTPを要求するどの実装も、エンドユーザーがOTPを使いづらく感じ、敬遠する恐れがあります。   目的   GlobalProtectはOTPベース認証をサポートし、ユーザー体験を維持する手段を提供します。この文書の目的は、企業の管理者に異なるGlobalProtectのOTP認証のワーク フローと、彼らのセキュリティとコンプライアンスの要求に合致しつつ、ユーザー体験を簡潔に維持するGlobalProtectの認証シナリオを決定する一助となることです。     GlobalProtectのOTP認証   GlobalProtectはRADIUSまたはSAML経由のOTPベースの認証をサポートし、OTPベンダーに全く依存しません。 RADIUSかSAMLをOTPベンダーが対応している限り、どのOTPベンダーも使用できます。OTPサービスをどのように設定したか次第で、ユーザーは2つのワーク フローのいずれかに従って認証されます。 ユーザーはユーザー名とパスワードを最初に入力し、その後にOTPによりChallengeが行われます。OTPは承認のプッシュ、SMS、トークン コードのいずれかを使用します。 ユーザーはユーザー名を入力し、Challengeを待つことなくワンタイム パスワード(あるいは同時にパスワード)を即認証します。 GlobalProtectはこれらのワークフローをサポートします。  Duoによる2つのワークフローを行うRADIUS設定のサンプルはこちらです。   Always-OnモードでのOTPベース認証が必要な場合 - こちらを参照   On-DemandモードでのOTPベース認証が必要な場合   GlobalProtectをOn-Demandモードで展開している場合、ユーザーは手動で必要に応じてGlobalProgtectに接続します。このモードは一般的な安全なリモート アクセスのユース ケースで、リモートのユーザーは社内データ センターのリソースにアクセスするためにVPNトンネルをセットアップし、内部のデータ センターへのアクセスが必要なくなったときにはVPNを切断します。   ユース ケース1: RADIUSを使用したOn-DemandモードでOTPを使用する   On-Demandによる接続では、GlobalProtectエージェントは、ユーザーがGlobalProtectへの接続を開始する毎に、常に最初にポータル、続いてゲートウェイを認証します。OTP認証がポータルとゲートウェイ両方に必要ということは、ユーザーが二回OTP認証を促されることを意味します(一回はポータル、続く一回はゲートウェイ)。しかし(PAN-OS 7.1およびGlobalProtect 3.1以降から)、ユーザーの認証の回数を最小化する認証オーバーライド機能を提供しています。認証オーバーライドの詳細は、Enhanced Two-Factor Authenticationをご覧ください。   推奨の設定: ポータルとゲートウェイ両方にOTP認証を必要とする。 ポータルにて、 ユーザー認証情報の保存を “Save Username Only” 認証オーバーライドの有効化と、"クッキーを生成して認証上書き"、"クッキーを受け入れて認証上書き"の両方の有効化。 Cookie有効期間を'N'時間に設定。'N'時間はユーザーが認証情報を再度入力を促されるまでの時間です。提供したいユーザー体験に基づいて決めてください。 ゲートウェイにて、 ユーザー認証情報の保存を “Save Username Only” 認証オーバーライドの有効化と、"クッキーを生成して認証上書き"、"クッキーを受け入れて認証上書き"の両方の有効化。 クッキーの暗号化/復号には、ポータルとゲートウェイで同じ証明書を使用するようにしてください。 注: 認証オーバーライドに使用する証明書を更新する必要ができたときに柔軟に対応するため、認証クッキーの暗号化と復号化に使用する証明書は専用のものとしてください。 Configuration on the Portal   Configuration on the Gateway   この設定にて、エンドユーザーがGlobalProtectに手動で接続するとき、エンドユーザーの体験は次のようになります。   ワーク フロー – 1 ワーク フロー – 2       ユース ケース2: SAMLを使用したOn-DemandモードでOTPを使用する   GlobalProtectは、PAN-OS 8.0とGlobalProtect 4.0からSAML認証をサポートします。SAMLを使用するとGlobalProtectエージェントはSAMP IdPからの認証ページを、Web/組み込みブラウザーで表示し、ユーザーを認証します。ブラウザが異なる(組み込みブラウザー)ため、 GlobalProtectの認証により得られたSAMLクッキーは、他のSAML有効化アプリケーションによるSSOには使用できません。逆もまた同様です。 GlobalProtect の認証により得られたSAMLクッキーは、再起動やログアウト後には残りません。 SAMLによるOTPを使用した場合、透過的な認証を行うために推奨される設定は次のようになります。 ポータルとゲートウェイの両方にSAML認証を使用します。 IdP設定により、SAMLクッキーの有効な期間を決定します。SAMLクッキーが継続し有効である限り、ユーザーからみてGlobalProtectへの透過的な認証になります。 Oktaを使用したGlobalProtectのSAML認証の設定方法はこちらをご覧ください。   GlobalProtect認証オーバーライドを用いて、再起動やログアウト後も透過的な認証を提供する   ポータルにて、 ユーザー認証情報の保存を “Save Username Only” 認証オーバーライドの有効化と、"クッキーを生成して認証上書き"、"クッキーを受け入れて認証上書き"の両方の有効化。 Cookie有効期間を'N'時間に設定。'N'時間はユーザーが認証情報を再度入力を促されるまでの時間です。提供したいユーザー体験に基づいて決めてください。 ゲートウェイにて、 ユーザー認証情報の保存を “Save Username Only” 認証オーバーライドの有効化と、"クッキーを生成して認証上書き"、"クッキーを受け入れて認証上書き"の両方の有効化。 クッキーの暗号化/復号には、ポータルとゲートウェイで同じ証明書を使用するようにしてください。 注: 認証オーバーライドに使用する証明書を更新する必要ができたときに柔軟に対応するため、認証クッキーの暗号化と復号化に使用する証明書は専用のものとしてください。   GlobalProtect Always-OnモードでのOTP認証の推奨については、このシリーズのこちらの次記事を参照してください。   設定例   2つのワーク フロー実現のためのDuoによるサンプル設定です。 DuoによるOTP認証を提供する方法の詳細については、こちらをご覧ください。   ワーク フロー1: ユーザーはユーザー名とパスワードを最初に入力し、その後にOTPによりChallengeが行われます。OTPは承認のプッシュ、SMS、トークンコードのいずれかを使用します。   [ad_client] host=<AD-Server> service_account_username=<administrator> service_account_password=<administrator’s password> search_dn=DC=acme,DC=com   [duo_only_client] [radius_server_challenge] ikey=<duo-integration-key> skey=<duo-security-key> api_host=<duo-host-name> radius_ip_1=<firewall-mgmt-ip> radius_secret_1=<radius-secret> client=ad_client failmode=safe port=1812
記事全体を表示
TShimizu ‎10-11-2018 01:23 AM
4,595件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Unable to see Japan WildFire analysis report from GUI after upgrading deployment from 6.1.x to 7.1.x https://live.paloaltonetworks.com/t5/Management-Articles/Unable-to-see-Japan-WildFire-analysis-report-from-GUI-after/ta-p/193950 症状 下記の条件に合致していた場合、PANOSを6.1.x から7.1.xにバージョンアップした後に、Japan WildFire 分析レポートがGUIから確認できない症状が発生致します。こちらの症状が発生した場合、 WildFire分析レポートが表示される代わりに、 " Fetching WildFire server  jp.wildfire.paloaltonetworks.com :443 info failed! Please examine service route or proxy setting!"といったメッセージが表示されます。   1. 6.1.xをご利用だった時に、 "jp.wildfire.paloaltonetworks.com" をWildFire Serverとして利用していた。 2. WildFire Serverに接続するために、Firewallにおいてプロキシサーバを指定していた。 3. 6.1.x から 7.1.xにバージョンアップした後、 "jp.wildfire.paloaltonetworks.com"が WildFire Private Cloudとして設定されている。   原因 PANOS 7.0.xから、 WildFire Hybrid Cloudの機能がサポートされたことが起因しています。   WildFire Hybrid Cloudのサポートにより、本機能をご利用でいなかったとしても、6.1.x から 7.1.xにバージョンアップした結果、"jp.wildfire.paloaltonetworks.com"が WildFire Private Cloudとして自動的に設定されます。   解決策 こちらの症状が発生した場合、WildFire Private Cloudから"jp.wildfire.paloaltonetworks.com"を削除の上、 変更をコミットしてください。その後、WildFire分析レポートがGUI ("Monitor=>WildFire Submissions") から確認できるようになります。   https://live.paloaltonetworks.com/t5/Management-Articles/Unable-to-see-Japan-WildFire-analysis-report-from-GUI-after/ta-p/193950     著者: kkawachi
記事全体を表示
kkawachi ‎09-28-2018 02:34 AM
4,622件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Set Up DoS Protection https://live.paloaltonetworks.com/t5/Tutorials/How-to-Set-Up-DoS-Protection/ta-p/71164   ルールベースのDoS protectionを使用する場合、管理者はポリシーを設定して、DoS攻撃者から防御設定できます。ルールベースの設定はPolicies > DoS Protectionからできます。これらのポリシーは、ゾーン、インターフェイス、IPアドレス、ユーザ情報などが一致するものを条件として設定できます。     DoS protectionを使用するには、DoSのルールをセキュリティ・ポリシーのように、設定された条件で流れているトラフックが一致するよう作成します。これらの設定はObjectsタブ> Security Profiles > DoS Protectionにて設定できます。   まず初めに、プロファイルのタイプを明示的にします。aggregateかclassifiedを選びます。   Aggregate: プロファイル上のDoSの閾値をこのプロファイルに設定した条件ルールに一致する全てのパケットに対して適応します。例えば、秒間10000パケットのSyn flood閾値のaggregateルールは、その特定のDoSルールにヒットする全てのパケットをカウントします。 Classified: プロファイル上のDoSの閾値は分類基準別(送信元IP、宛先IPもしくは送信元、宛先IPの組み合わせ別)にカウントします。   DoS protectionプロファイルは、いくつかの種類のDoS攻撃を緩和させるために利用することができます。   Flood protectionはゾーン protectionプロファイルの一つに似ています。Syn floodでは、SYN CookieとRandom Early Drop(RED)がオプションで選べます。他のタイプのfloodではREDが使われます。ゾーン protectionプロファイルでは同じ設定オプションになっていることにお気づきになるでしょう。加えて、Block Durationがあり、攻撃しているIPを何秒間Denyするか設定できます。   Flood protectionに加えて、リソースprotectionも選択できます。このタイプのprotectionは、ホストの使用率を強制します。 特定の送信元IPアドレス、宛先IPアドレス、またはIP送信元と宛先ペアに対して許可されるセッションの最大数を制限します。   次に、Policies > DoS Protectionに移動し、セキュリティ・ルールと同様の手順で、DoSポリシーを作成します。   お気づきのように、ほとんどのパラメータはセキュリティ・ルールと同様です。 ルール名を設定した後、送信元、宛先、およびサービスを設定したら、Aggregateドロップダウンを使用してルールにプロファイルを添付するか、New DoS Protectionをクリックして新しいポリシーを作成できます。   deny/allow/protectの3種類の異なるアクションがあります。   Deny – トラフィックを全て落とします Allow - トラフィックを全て通します Protect - このルールに適用されるDoSプロファイルの一部として構成された閾値で設定された保護を実施します。   Schedule プルダウンを使用して、特定の日時にDoSルールを適用するスケジュールを割り当てることができます。 Log Forwarding プルダウンを使用して、脅威ログエントリをsyslogサーバやPanoramaなどの外部サービスに転送するようにログ転送を設定できます。 このチュートリアルのために、分類されたDoS保護プロファイルタイプを作成しました。 チェックボックスをオンにすると、Profile プルダウンメニューをから分類されたプロファイルタイプを選択できます。 下のAddressプルダウンメニューにて、先ほど述べた分類基準(source-ip-only / destination-ip-only / src-dest-ip-both)を選択できます。   例として、aggregate DoS protectionプロファイルとclassified DoS protectionプロファイルの両方を同じDoSルールに設定できます。   OKを選択し、Commitで設定を保存します。   CLIの場合、設定したDoS ルールを以下のコマンドで確認できます:   > show dos-protection rule <name> settings   このサンプル例では、以下のDoSルールが参照できます。 name = DosRule aggregate profile = DosProtection classified profile = Dos_classified classification criteria = source-only action = Protect   出力結果では、プロファイルで設定した全ての閾値も確認できます。   他にもVideo上で話されているトピックや、サンプルに関連した便利なリンク集が以下となります :   Understanding DoS Protection How to Configure a policy with DoS protection to protect hosted services  Differences between DoS protection and zone protection Video Tutorial – Zone protection profiles Understanding DoS logs and counters   著者: Kim
記事全体を表示
kkondo ‎09-27-2018 06:05 PM
5,452件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Create Management Users, Assign Roles, and Change Password from the PAN-OS CLI https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Create-Management-Users-Assign-Roles-and-Change-Password/ta-p/54740   概要 この記事では管理ユーザーを追加/作成し、作成した管理ユーザーにロールを割り当て、 パスワードを設定する方法を記載しています。   手順 管理ユーザーの新規作成/追加 CLI へログイン Configure mode へ移行 >   configure 管理ユーザーを作成/追加およびパスワードを設定 # set mgt-config users <name> password 注:  <name> に指定したユーザー名が既存の管理ユーザーに存在しない場合にユーザーが作成されます。 管理ユーザーにロールを設定 # set mgt-config users <name> permissions role-based <role profile> custom deviceadmin devicereader superreader superuser Commit  を実行 # commit   既存の管理ユーザーのパスワードを変更 Configure mode へ移行 >   configure 新しいパスワードを設定(既存のパスワードが上書されます) # set mgt-config users admin password Commit を実行 # commit   WebGUI WebGUIでの手順、および個々の管理者ロールプロファイルを作成する手順については 各バージョンの管理者ガイドを参照してください。管理者ガイドへのリストを下記に記載します。   PAN-OS 7.0 Administrator's Guide   PAN-OS 7.1 Administrator's Guide   PAN-OS 8.0 Administrator's Guide   owner: sraghunandan
記事全体を表示
anishinoya ‎09-27-2018 05:23 PM
3,814件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Shut Down an Interface from the Web GUI or the CLI https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Shut-Down-an-Interface-from-the-Web-GUI-or-the-CLI/ta-p/53877   Web GUI Web GUIから、Network > Interface 落としたいインターフェイス設定を選択し、AdvancedタブのLink Stateプルダウンメニューからdownを選択します。 Commitで変更を反映します。     CLI ※ ethernet1/1を落とす設定の、実行例です。   > configure Entering configuration mode [edit] # set network interface ethernet ethernet1/1 link-state down #commit   著者: ppatel
記事全体を表示
kkondo ‎09-27-2018 12:30 AM
3,252件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 IPSec and tunneling - resource list https://live.paloaltonetworks.com/t5/Management-Articles/IPSec-and-tunneling-resource-list/ta-p/67721   以下のリストにIPSecおよびTunnel設定の理解に役立つ情報を記載しています: 記事名 備考 リソースタイプ 基本 How to configure IPSec VPN IPSec VPN設定 ドキュメント Configuring the Palo Alto Networks device as an IPSec IPSec Passthrough設定 ドキュメント IPSec crypto options IPSec暗号オプション ドキュメント Why is GlobalProtect slower on SSL VPN compared to IPSec VPN? GlobalProtectのSSLオプションがIPSecVPNオプションよりも遅い理由 ドキュメント How to improve performance for IPSec traffic IPSec通信のパフォーマンスを向上させる方法 ドキュメント NAT traversal in an IPSec gateway IPSecゲートウェイでのNAT traversal設定 ドキュメント Config guidelines when terminating IPSec VPN tunnels on the firewall ファイウォールでIPSec VPNを終端する場合のガイドライン ドキュメント Sample IPSec tunnel configuration - Palo Alto Networks firewall to Cisco ASA IPSec tunnel設定例 (Palo Altot NetowrksファイアウォールとCiso ASA) ドキュメント The IPSEC tunnel comes up but hosts behind peer are not reachable  IPSec tunnelトラブルシューティング ドキュメント IPSec VPN with peer ID set to FQDN IPSec VPNのpeer IDをFQDNで設定する場合の注意点  ドキュメント What encryption is used when enabling IPSec for GlobalProtect? GlobalProtectでIPSecを有効にした場合の暗号について ドキュメント How to create an IPSec tunnel that is a responder (not initiator) IPSec tunnel (レスポンダー)設定方法 ドキュメント 中級                   IPSec tunnel details IPSec tunnelトラブルシューティング ドキュメント Differences between IPSec and LSVPN tunnel monitoring LVPNとIPSec VPN のトンネルモニタリングの相違点 ドキュメント IPSec traffic being discarded IPSsec通信のトラブルシューティング ドキュメント How to verify if IPSec tunnel monitoring is working トンネルモニタリング動作状況の確認方法 ドキュメント IPSec VPN error: IKE phase-2 negotiation failed as initiator, quick mode IPSec VPNエラーのトラブルシューティング ドキュメント IPSec interoperability between Palo Alto Network firewalls and Cisco ASA Palo Alto Networks firewallsとCisco ASA firewallシリーズのIPSec相互接続について ドキュメント How to configure dynamic routing over IPSec against Cisco routers IPSec経由でCiscoルートとのダイナミックルーティングを設定する方法 ドキュメント Configuring route based IPSec with overlapping networks ルートベースIPSecの設定 ドキュメント IPSec with overlapping subnet 重複サブネットにおけるIPSec設定 ドキュメント GlobalProtect configuration for the IPSec client on Apple iOS devices Apple iOSのIPSecクライアント向けのGlobalProtect 設定 ドキュメント Site-to-site VPN between Palo Alto Networks firewall and Cisco router is unstable or intermittent Palo Alto Networks firewallとCiscoルータ間でのSite-to-site VPNが不安定になる事象について ドキュメント Configuring captive portal for users over site-to-site IPSec VPN Site-to-site IPSec VPN経由のCaptive Portal設定 ドキュメント IPSec VPN IKE phase 1 is down but tunnel is active IPSec VPNトンネルがアクティブの状態でIKE Phase 1がダウンしている事象について ドキュメント Tips for configuring a Juniper SRX IPSec VPN tunnel to a Palo Alto Networks firewall Juniper SRX IPSecとPalo Alto Networks firewall間のIPSec VPNトンネル設定における Tips ドキュメント Dynamic IPSec site-to-site between Cisco ASA and Palo Alto Networks firewall Cisco ASAとPalo Alto Networkファイウォール間におけるダイナミック site-to-site IPSecについて ドキュメント IPSec site-to-site between Palo Alto Networks firewall and Cisco with NAT device Cisco機器とPalo Alto Networkファイアウォール間にNAT機器がある場合のIPSec site-to-site接続について  ドキュメント How does the firewall handle diffserv headers in an IPSec tunnel? IPSecトンネルにおけるDiffservヘッダーの扱いについて ドキュメント IP phone switch not working through IPSec tunnel IPSecトンネル経由でIPフォンスイッチが動作しない ドキュメント 上級           IPSec tunnel is up and packet is getting dropped with wrong SPI counter increase "wrong SPI" カウンタが増加しパケットがドロップされる事象について ドキュメント Configuring route-based IPSec using OSPF OSPFを利用したRoute-based IPSec設定 ドキュメント IPSec error: IKE phase-1 negotiation is failed as initiator, main mode due to negotiation timeout IPSecラブルシューティング ドキュメント Site-to-site IPSec excessive rekeying on only one tunnel on system logs Site-to-Site IPSecで1つのトンネルのみ大量の rekeyが発生する ドキュメント CLI commands to status, clear, restore and monitor an IPSec VPN tunnel IPSec CLIコマンド ドキュメント What do the port numbers in an IPSec-ESP session represent? IPSec-ESPセッションのポート番号について ドキュメント Configuring IPSec VPN between PAN-OS and CheckPoint Edge / Safe@Office PAN-OSとCheck Point Edge / Safe@Office間のIPSec VPN設定 ドキュメント Configuring site-to-site IPSec VPN in layer 2 Layer 2 インターフェースでの site-to-site IPSec VPN 設定 ドキュメント Site-to-site IPSec VPN between Palo Alto Networks firewall and Cisco router using VTI not passing traffic Palo Alto NetworksファイアウォールとVTIを利用したCiscoルータ間のIPSecトラブルシューティング ドキュメント Configuring IKEv2 VPN for Microsoft Azure Environment Microsoft AzureとのIKEv2 VPN設定 ドキュメント  
記事全体を表示
anishinoya ‎09-12-2018 01:52 AM
6,094件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Dynamic Update Fails with "Image File Authentication Error" Message https://live.paloaltonetworks.com/t5/Management-Articles/Dynamic-Update-Fails-with-quot-Image-File-Authentication-Error/ta-p/62252   問題 ダイナミック更新 (Dynamic Updates) が次のようなメッセージで失敗する: " content update failed with the following messages: Image File Authentication Error Failed to extract rpm file /opt/pancfg/mgmt/content-images/tmp/panupv2-all-contents-313-1422.tgz ".   手動で更新パッケージをインストールする場合も、結果として同じエラーが発生します。 解決策 3つの異なる解決方法があります。   解決方法 1 - 更新サーバの変更 もしあなたが更新サーバとしてstaticupdates.paloaltonetworks.comを設定しており、PAN-OS 7.1.7以降をお使いの場合、更新サーバの設定変更が必要です。 WebGUIにて、 Device > セットアップ > サービス に移動し、ワークアラウンドとして更新サーバを"staticupdates.paloaltonetworks.com " から " updates.paloaltonetworks.com " に変更してください。 注: ファイアウォールから staticupdates.paloaltonetworks.com -  199.167.52.15 のIP アドレスだけにアクセスを許可するセキュリティ ルールを設定していないか確認してください。もし設定しているのであれば、以下の新しいIP/URLに設定変更する必要があります: updates.paloaltonetworks.com - 199.167.52.141 に変更後、commitしてからテストしてください。 Device > Setup > Services window showing the update server details.   解決策 2 - アップデート ファイルの削除と再ダウンロード 全てのコンテント アップデートを削除してから再ダウンロードすることでこの問題が解決するか確認してください。 WebGUIにて、   Device > ダイナミック更新 からこの手順を実行できます。 WebGUIからアップデート ファイルを削除し、"今すぐ更新 (check now)"を実行してから新しいアップデート ファイルをダウンロードします。ダウンロードが完了したらインストールを実施し、エラーなしで完了するかどうかを確認します。 Device > Dynamic Update screen showing how to delete an update. CLIの場合は、以下のコマンドでコンテンツ パッケージの削除をしてから、再ダウンロードとインストールを実施してください: admin@myNGFW> delete content update <value> Filename   解決策 3 - PAN-OSの再インストール 最後の手順として、上記2つの解決策がうまくいかない場合、ファイアウォールのPAN-OSを再インストールしてください。 PAN-OSの再インストールは、以下の手順で行えます: 現在のコンフィグをバックアップする。 次のドキュメントの手順1を参照してください: How to Save an Entire Configuration for Import into Another Palo Alto Networks Device。 設定を他のPalo Alto Networksデバイスへ移行する手順(日本語訳) Device > ソフトウェア に移動し、現在のPAN-OS バージョンのアクション列にある"再インストール"をクリックします: Device > セットアップ > 操作 > デバイスの再起動 からファイアウォールを再起動します。 ダイナミック更新にて"今すぐチェック"を実行後、最新のコンテンツをダウンロード/インストールしてください。   著者: rkalugdan   
記事全体を表示
tsakurai ‎09-03-2018 08:01 PM
4,666件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Using the "admin" user account on VM-series running on Azure public cloud https://live.paloaltonetworks.com/t5/AWS-Azure-Articles/Using-the-quot-admin-quot-user-account-on-VM-series-running-on/ta-p/209368   問題   Azure cloud上で動作しているVM-seriesの「admin」ユーザーアカウントにログオンできない。   解決方法   Azure marketplaceからVM シリーズのファイアウォールを起動する場合、「admin」ユーザー アカウントにはデフォルト パスワードが設定されていません。「admin」ユーザー アカウントを使用したい場合は、まずVM-seriesを初回起動した時に設定したsuperuser アカウントにログオンし、そのあと「admin」ユーザー アカウントのパスワードを変更する必要があります。  
記事全体を表示
oconnellm ‎08-28-2018 02:03 AM
3,476件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Apply QoS for Youtube or Streaming Media https://live.paloaltonetworks.com/t5/Configuration-Articles/Apply-QoS-for-Youtube-or-Streaming-Media/ta-p/66036   この記事は、ストリーミング メディアサイトにQoSを設定する方法について述べています。   以下のようなトポロジーで、 Ethernet 1/3はLAN側に、Ethernet 1/1はWAN側に設定されています。   QoSプロファイルを作成します。 Create the QoS profile QoSプロファイルの作成 QoSポリシーでトラフィックを特定のクラスにカテゴライズ設定します。 QoS policy Name QoSポリシー名 QoS policy Source QoSポリシー送信元 QoS policy Destination QoSポリシ - 宛先 制限をかけたい全てのアプリケーションを追加します: QoS policy Application QoSポリシー - アプリケーション 必要に応じて、URLフィルタリング・カテゴリーを設定します: QoS policy URL Category QoSポリシー - URLカテゴリー そして最後に、作成したポリシーをQoSプロファイルで一致させたいクラスに設定します: QoS policy Class QoSポリシー – クラス これは重要なステップです。QoS プロファイルは送出パケットに適応されますので、ファイアウォールから大きなデータストリームが出ていくインターフェイスにそのプロファイルを割り当てる必要があります。この例では、クライアントはストリーミングをインターネットから受け取っており、大量のデータ フローがインターネットからクライアントへ流れているため、QoSプロファイルをクライアント サイドに適応することによって、フロー制御をします。 QoS Interface QoS インターフェイス QoS統計情報を確認します。Network > QoSに移動し、statisticsをクリックします。 QoS bandwidth enforcement QoS帯域実行結果   QoSについてのさらなる情報については、以下のGetting Started記事をご参照ください:   Getting Started: Quality of Service   著者: pankaku  
記事全体を表示
kkondo ‎08-26-2018 06:07 PM
4,432件の閲覧回数
0 Replies
この記事は、以下の記事の日本語訳です。 Getting Started: Log forwarding https://live.paloaltonetworks.com/t5/Featured-Articles/Getting-Started-Log-forwarding/ta-p/74725     ファイアウォールで、ログファイルとレポートの転送もできます!   状況によっては、セキュリティ情報イベント管理(SIEM)ソフトウェア製品やログ相関製品、Panoramaにログを送信したり、特定のイベントが発生したときに電子メールを受信したりすると便利です。   Palo Alto Networksのファイアウォールでは、セキュリティルールの適用やシステムイベントを含むあらゆる種類のイベントに対してログ転送を有効にすることができます。ルールが適用されたときやイベントが発生したときにSNMPトラップや電子メールを送信し、指定された電子メールアドレスにレポートを転送することもできます。   開始するにあたり、まずはじめに適切なサーバープロファイルを作成する必要があります。 SNMPサーバー、Syslogサーバー、電子メールプロファイルのいずれかを作成する必要があります。   Syslogサーバープロファイルでは、Syslogサーバーの設定に合わせてSyslogのフォーマットと機能を変更できます。   電子メールサーバープロファイルでは、表示名をフレンドリな形式に設定して、受信した電子メールに表示することができます。 ヒント:ほとんどの場合、SMTPサーバーは異なるドメインのメッセージを中継しないように構成されているため、 組織内のドメインに「送信者」の電子メールアドレスを設定することをお勧めします。   適切なサーバープロファイルを作成したら、転送を開始するように設定できる場所が数ヶ所あります。   システムログ   システムイベントの場合、システムログに見られるように、重大度ごとにサーバーを割り当てることができます。これにより、たとえば、"informational"以外のすべてのログを履歴情報としてSyslogサーバーに転送したり、重大度"high"のイベントをSNMPトラップでアラートサーバーに送信したり、重大度"critical"のイベントを電子メールで送信し、且つログをPanoramaに送信することができます。重大度をクリックするだけで設定ウィンドウが表示され、実行するアクションを設定できます。       セキュリティログ   セキュリティルールには、個々のログ転送プロファイルが割り当てられている場合があります。ほとんどのシナリオでは、すべてではないにしてもほとんどのセキュリティログがPanoramaまたはsyslogに転送されます。 重大な脅威は、SNMPトラップを生成したり、電子メールでセキュリティチームに通知することができます。   まず、必要性に合わせて1つ以上のプロファイルを作成します。 ヒント:URLフィルタリングログは「脅威」の重大度"informational"に含まれます。     次に、アクションタブにログ転送プロファイルを追加して、セキュリティルールにプロファイルをあてます。このポリシーでログ転送が有効になっていることが示す新しいアイコンがセキュリティポリシービューに表示されます。   レポート   最後に、レポートは毎日または毎週送信されるので、管理者はファイアウォールにログオンする必要なく業務上の利便性を得ることができます。   まず、レポートグループを作成します。このレポートグループでは、事前定義レポートまたはカスタムレポートが単一の出力グループにまとめられます。 使用可能なすべてのレポートは、左枠から選択して右枠のグループに移動することができます。   グループが作成されたら、レポート作成とその後の管理者への電子メール送信のための電子メールスケジューラーを設定します。   レポートが利用可能になった後、電子メールで送付されたPDFに表示されます(作成されたばかりのカスタムレポートでは、毎週の概要を追加するのに時間がかかることがあります)。     この記事を気に入って頂けましたらGetting Started: the seriesをご参照いただき、遠慮なくコメント頂ければ幸いです。   Tom
記事全体を表示
hueguri ‎08-26-2018 04:57 PM
4,664件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Packet drop caused by DoS Protection Rule with "src-dest-ip-both" Classified setting https://live.paloaltonetworks.com/t5/Configuration-Articles/Packet-drop-caused-by-DoS-Protection-Rule-with-quot-src-dest-ip/ta-p/227001     事象 DoS プロテクション ルール適用後にパケット ドロップが発生。 脅威ログには、DoS  プロテクションに関連したログは生成されない。   この事象は、DoS プロテクション ルールにおいて Classified 設定がされており、その中のアドレスの設定で "src-dest-ip-both" を選択した際に起きる傾向にあります。   この問題は、実際のアクティブ セッション数がプラットフォームがサポートする最大セッション数、また DoS プロテクション プロファイル内の "最大同時セッション数" よりも少ない状況下であっても起き得ます。     この間、以下のグローバル カウンターがカウントされます。 flow_dos_rule_drop             Packets dropped: Rate limited or IP blocked flow_dos_rule_drop_classified  Packets dropped: due to classified rate limiting flow_dos_no_empty_entp         Unable to find empty classified entry during insertion   原因 もし上記のカウンターに同じ数の上昇が見受けられるようであれば、 classificationテーブルへの ハッシュの挿入に失敗したことによるパケットがドロップが起きたことを指し示します。 ハッシュの挿入の失敗は、 classificationテーブルを使い切ってしまった場合か、ハッシュの衝突が起きたときに発生します。 "src-dest-ip-both" の設定を行った場合、ファイアウォールは送信元IPと宛先IPのペアを基にセッションをトラックする必要があり、それによってより多くのエントリーがclassificationテーブルに追加されることになります。エントリー数が増えれば増えるほど、ハッシュの衝突が起きる可能性は高くなります。   解決方法 -  Classified設定の中で、"src-dest-ip-both" の代わりに  "source-ip-only" または "destination-ip-only" を選択する。 - Classified設定の代わりにAggregate設定を使用する。 - "debug dataplane reset dos classification-table" コマンドを実行し、classificationテーブルをクリアする。注: これは一時的な回避策となります。 - DoS プロテクション ルールを設定する際に、適用範囲をより限定的にする。例えば、すべてのゾーンを含めるのではなく、適用するゾーンの数を減らす等。      
記事全体を表示
ymiyashita ‎08-26-2018 04:56 PM
4,279件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Tips & Tricks: Why Use a VPN Proxy ID? https://live.paloaltonetworks.com/t5/Featured-Articles/Tips-amp-Tricks-Why-Use-a-VPN-Proxy-ID/ta-p/69524 DotW: 重複するIPを持つIPSec プロキシ IDに関するヘルプでサブネットが重複している場合の問題を取り上げました。私たちは特定の条件下でピアネットワーク同士が通信する方法を模索していました。Palo Alto Networks ファイアウォールでポリシーベースのVPNをサポートするピアと連携する場合はプロキシIDの設定が必要です。   上記のディスカッション・オブ・ザ・ウィーク(DotW)はプロキシIDについてのヘルプですが、VPN プロキシ IDと、それを設定する重要な理由について詳しく説明しましょう。   IPSec VPNトンネルについての話で触れたように、Palo Alto Networks ファイアウォールでポリシーベースのVPNをサポートするピアと連携する場合は、プロキシ IDを定義する必要があります。ポリシーベース VPNをサポートするデバイスは、IPSecトンネルを介するトラフィックを許可するための特定のセキュリティルール/ポリシーまたはアクセスリスト(送信元アドレス、宛先アドレス、およびポート)を使用します。 これらのルールは、クイック モード / IKE フェーズ 2のネゴシエーション中に参照され、ネゴシエーション プロセスの最初または2番目のメッセージでプロキシ IDとして交換されます。 そのため、Palo Alto Networks ファイアウォールでポリシーベースのVPNをサポートするピアと連携するように設定する場合は、フェーズ 2のネゴシエーションを成功させるために両方のピアの設定が同一になるようにプロキシ IDを定義する必要があります。プロキシ IDが設定されていない場合、Palo Alto Networks ファイアウォールはルート ベースのVPNをサポートしているため、プロキシ IDとして使用されるデフォルト値は、"source ip: 0.0.0.0/0, destination ip: 0.0.0.0/0 and application: any"となり、これらの値がネゴシエーション中にピアと交換されると、結果としてVPN接続のセットアップに失敗します。   それでは、プロキシ IDの設定内容とオプションを見てみましょう: プロキシ ID セクションの中(Network > IPSec トンネル (IPSec Tunnels) > トンネス名を選択 > プロキシ ID (Proxy IDs)タブ)に、いくつかのオプションを見ることができます: プロキシ ID (Proxy ID) - 追加(Add)をクリックしてプロキシを識別するための名前を入力します。任意の名前を使用できますが、数字だけの名前は使用できません。 ローカル (Local) - IP アドレス / サブネットマスクの形式でIPアドレスやサブネットを入力します。 (例: 10.1.2.1/24) リモート (Remote) - ピアが必要とする場合、IP アドレス / サブネットマスクの形式でIPアドレスやサブネットを入力します。 (例: 10.1.1.1/24) プロトコル (Protocol) - プロトコルとローカルとリモートのポート番号を指定します: 番号 (Number) - プロトコル番号を指定します。(サードパーティ製デバイスとの相互接続に使用) いずれか (Any) - TCP / UDPのいずれのトラフィックも許可します。 TCP - ローカル及びリモートのTCP ポート番号を指定します。 UDP - ローカル及びリモートのUDP ポート番号を指定します。 注: 各プロキシ IDはVPN トンネルとしてカウントされるので、ファイアウォールのIPSec VPN トンネルの容量に影響します。(訳注: 各プラットフォームの上限数についてはデータシートをご参照ください)   プロキシ IDの利点は、特定のトラフィックだけがVPN トンネルを通過するようにしたい場合、プロトコル番号またはTCP / UDP ポート番号で細かく設定を容易にすることができる点です。   IKEには2つのバージョンがあり、プロキシ IDの動作は異なります。 - IKEv1では、Palo Alto Networks ファイアウォールはプロキシ IDの完全一致のみをサポートします。ピアのプロキシ IDが一致しない場合、VPNの動作に問題が発生します。 - IKEv2では、2つのVPN ゲートウェイ間でプロキシ IDの設定が異なっている場合に、トラフィック セレクタの絞り込みが行われます。実装されている選択肢について以下で説明します。 IKEv2の使用例 多くのIPSec VPN セットアップを説明するのに役立つIPSecとIKEv2の使用例のリスト、及びプロキシ IDを正しく使用する方法については、以下を参照してください。   例: 2つのVPN ゲートウェイ AとBがあります。IKE ネゴシエーションはVPN GW-aにより開始されます。i=イニシエータ、r=レスポンダ   VPN GW-aをトラフィック セレクタ TSi-a/TSr-aと定義し、VPN GW-bをトラフィック セレクタ TSi-b/TSr-bの設定を有していると仮定します。TSr-aはTSr-bと同様なので無視することができます。TSi-aはTSi-bとは異なる可能性があります。   A. TSi-aがTSi-bと同じ場合。 例:両方とも5.10.11.0/24: 期待値:動作は既存のIKEv1 プロキシ IDの場合と同じであり、トラフィックは通過できません。この例では適切な通信を可能にするためにNATが必要となります。   VPN GW-a: 送信: TSi: 5.10.11.0 - 5.10.11.255 VPN GW-b: 応答: TSi: 5.10.11.0 - 5.10.11.255 [最終結果]   このソリューションについては、DotWの記事で詳しく説明しています。 DotW: Help with IPSec Proxy IDs with overlapping IPs DotW: 重複するIPを持つIPSec プロキシ IDに関するヘルプ(日本語翻訳) B. TSi-aがTSi-bを含む上位ネットワークの場合: b1. VPN GW-aはTSi-a = 5.10.0.0/16を、VPN GW-bはTSi-b = 5.10.11.0/24を提案する場合:   i. トンネルはトラフィックなしで起動します。(たとえば、初期化中やテストコマンドによって)   期待値: レスポンダとしてVPN GW-bはVPN GW-aに5.10.11.0/24で応答します。VPN GW-aはそれを受け入れてchild-saを作成します。   VPN GW-a: 送信: TSi: 5.10.0.0 - 5.10.255.255 VPN GW-b: 応答: TSi: 5.10.11.0 - 5.10.11.255 [共通サブセットに絞り込まれます]   ii. VPN GW-aの背後にあるホスト(たとえば、ホスト IP 5.10.11.2)がトンネルを起動しようとします。   期待値: レスポンダとしてVPN GW-bはVPN GW-aに5.10.11.0/24で応答します。VPN GW-aはそれを受け入れてchild-saを作成し、トラフィックは通過します。   VPN GW-a: 送信: TSi: 5.10.11.2; 5.10.0.0 - 5.10.255.255 VPN GW-b: 応答: TSi: 5.10.11.0 - 5.10.11.255 [共通サブセットに絞り込まれます]   Palo Alto Networks ファイアウォールがイニシエータの場合、IKE ペイロードの最初の特定トラフィック セレクタ (5.10.11.2)を送信しません。 レスポンダとして特定のトラフィック セレクタを送信するピアに対応することができます。トラフィック セレクタを共通サブセットに絞り込みます。   iii. VPN GW-aの背後にあるホスト(たとえば、ホスト IP 5.10.6.2)がトンネルを起動しようとします。   期待値: レスポンダとしてVPN GW-bはVPN GW-aに5.10.11.0/24で応答します。VPN GW-aはそれを受け入れてchild-saを作成します。   VPN GW-a: 送信: TSi: 5.10.6.2; 5.10.0.0 - 5.10.255.255 VPN GW-b: 応答: TSi: 5.10.11.0 - 5.10.11.255 [共通サブセットに絞り込まれます]   Palo Alto Networks ファイアウォールがイニシエータの場合、IKE ペイロードの最初の特定トラフィック セレクタ (5.10.6.2)を送信しません。   レスポンダとしてトラフィック セレクタを共通サブセットに絞り込みます。受信したTS ペイロードに特定のトラフィック セレクタが含まれている場合、ローカル ポリシーから外れていても引き続きトラフィック セレクタの絞り込みは行いますが、RFC 5996に従って特定のトラフィック セレクタは無視されます。   b2. VPN GW-aはTSi-a = 5.10.0.0/16を、VPN GW-bは2つ以上の定義エントリ TSi-b = 5.10.11.0/24と5.10.12.0/24を提案する場合:   i. トンネルはトラフィックなしで起動します。   トラフィック セレクタごとの複数エントリはstrongswanによってサポートされています。したがって、strongswanはVPN GW-bとして設定することができます。PAN-OSがGW-bの場合、複数のプロキシ IDを設定する必要があります。   VPN GW-a: 送信: TSi: 5.10.0.0 - 5.10.255.255 VPN GW-b: 応答: TSi: 5.10.11.0 - 5.10.11.255 [PANOS: 最初に一致したエントリから共通サブセットを使用します]   上記はレスポンダ (VPN GW-b)としてのPAN-OSの結果を示しています。VPN GW-aに5.10.11.0/24または5.10.12.0/24のいずれかのエントリで応答します("show vpn tunnel"で表示されるフル トンネル名のアルファベット順に基づく最初のエントリ)。   他社製品がVPN GW-bとして両方のエントリ (5.10.11.0 - 5.10.11.255 + 5.10.12.0-5.10.12.255)をトラフィック セレクタとして返答しても、Palo Alto Networks ファイアウォールは最初のエントリのみをインストールします。   ii. VPN GW-aの背後にあるホスト(たとえば、ホスト IP 5.10.11.2)がトンネルを起動しようとします。   期待値: レスポンダとしてVPN GW-bはVPN GW-aに5.10.11.0/24で応答し、トラフィックは通過します。   VPN GW-a: 送信: TSi: 5.10.11.2; 5.10.0.0 - 5.10.255.255 VPN GW-b: 応答: TSi: 5.10.11.0 - 5.10.11.255 [PAN-OS: 5.10.11.2をカバーできるポリシーを優先し、最初に一致したエントリから共通サブセットを取得します。]   Palo Alto Networks ファイアウォールがイニシエータの場合、IKE ペイロードの最初の特定トラフィック セレクタ ( 5.10.11.2)を送信しません。   レスポンダの場合、絞り込みまたは完全一致により特定のトラフィック セレクタを1つのエントリでカバーできるまで、設定されたすべてのプロキシIDを検索します。 特定のトラフィック セレクタを共通サブセットでカバーできない場合は、引き続き絞り込みを試みます。   iii. ステップ iiのあと、VPN GW-aの背後にある別のホスト(たとえば、ホスト IP 5.10.12.2)がVPNの対向側に通信しようとする。   期待値: このトラフィックは先に作成されたVPN トンネルに一致しないので、別のIPSec SAがネゴシエートされます。 VPN GW-a: 送信: TSi: 5.10.12.2; 5.10.0.0 - 5.10.255.255 VPN GW-b: 応答: TSi: 5.10.12.0 - 5.10.12.255 [PANOS: 5.10.12.2をカバーできるポリシーを優先し、最初に一致したエントリから共通サブセットを取得します]   この時点で両方のプロキシ IDのVPN トンネルが起動し、トラフィックが通過します。   他社製品の中には別のIKE ネゴシエーションを開始しないものもあります。5.10.12.2と一致しませんが、ステップ iiで確立した既存のトンネルを使用してパケットを送信します。 この種の動作を分析するためには、トンネル ネゴシエーション プロセス全体を確認する必要があります。   iv. VPN GW-aの背後にあるホスト(たとえば、ホスト IP 5.10.6.2)がVPNの対向側に通信しようとする。(ステップ iiおよびiiiが実行されていない場合)   期待値: VPN GW-aに一致するSAが無いので、VPN GW-bとのネゴシエートを試行します。応答は実装に依存します。   VPN GW-a: 送信: TSi: 5.10.6.2; 5.10.0.0 - 5.10.255.255 VPN GW-b: 応答: TSi: 5.10.12.0 - 5.10.12.255 [PANOS: 最初に一致したエントリから共通サブセットを使用します]   v. ステップ iiiのあとで、VPN GW-aの背後にあるホスト(たとえば、ホスト IP 5.10.6.2)がVPNの対向側に通信しようとする。   イニシエータはピアへトラフィックを転送するために以前に確立したトンネルを使うことができます。トンネルの選択はベンダーの実装に依存します。   b3. VPN GW-bがトラフィック セレクタの絞り込みをサポートしていない場合:   VPN デバイスの中にはトラフィック セレクタの絞り込みをサポートしていないものがあります。たとえば、このような場合にCisco IOS 15.0はNO_PROPOSAL_CHOSENと応答します。   トンネルを確立できず、設定を変更する必要があります。   C. TSi-aがTSr-bのサブセットの場合: VPN GW-aはTSi-a = 5.10.11.0/24を、VPN GW-bはTSr-b = 5.10.0.0/16を提案する。   i. トンネルはトラフィックなしで起動します。   期待値: VPN GW-bは5.10.11.0/24で応答し、トンネルはトラフィック セレクタの共通部分(5.10.11.0/24)を使用して確立されます。   VPN GW-a: 送信: TSi: 5.10.11.0 - 5.10.11.255 VPN GW-b: 応答: TSi: 5.10.11.0 - 5.10.11.255 [最終結果 - 共通サブセット]   ii. VPN GW-aの背後にあるホスト(たとえば、ホスト IP 5.10.11.2)がトンネルを起動しようとします。   期待値: トラフィック セレクタ 5.10.11.0/24でトンネルが確立され、トラフィックは通過します。   VPN GW-a: 送信: TSi: 5.10.11.2; 5.10.11.0 - 5.10.11.255 VPN GW-b: 応答: TSi: 5.10.11.0 - 5.10.11.255 [最終結果]   Palo Alto Networks ファイアウォールがイニシエータの場合、IKE ペイロードの最初の特定トラフィック セレクタ (5.10.11.2)を送信しません。   レスポンダとして特定のトラフィック セレクタを送信するピアに対応することができます。イニシエータ側が小さいためトラフィック セレクタはイニシエータから選択されます。   iii. VPN GW-aの背後にあるホスト(たとえば、ホスト IP 5.10.6.2)がトンネルを起動しようとします。   期待値: VPN GW-a: 送信: TSi: 5.10.6.2; 5.10.11.0 - 5.10.11.255 VPN GW-b: 応答: TSi: 5.10.11.0 - 5.10.11.255 [最終結果]   PAN-OSがイニシエータの場合、プロキシ IDが設定されていないか、単一のプロキシ IDが同じトンネル インターフェイス上に定義されている場合、トンネルは上記のようにネゴシエートされ、トラフィックはトンネルを介して送信されます。   複数のプロキシ IDがある場合、一致するものがあるかどうか他のプロキシ ID(トンネル ID)を確認します。一致するものがなければ、最後のプロキシ IDを使用してトンネルをネゴシエートし、トラフィックを送信します。これはIPSec Multiple Phase 2 Associationsとして定義されている動作です。   PAN-OSがレスポンダで、ポリシー VPNが動作している別のベンダー機器がイニシエータである場合、パケットがローカル ポリシーの範囲外であるため、トンネル ネゴシエーションを開始しない可能性があります。トンネル ネゴシエーションを開始する場合は、イニシエータのトラフィック セレクタを狭くして使用します。   D. TSi-aとTSr-bの間で重複がある場合: VPN GW-aはTSi-a = 5.10.0.0/16を、VPN GW-bはTSr-b = 5.10.11.0/24と5.9.0.0/24を提案する。 i. トンネルはトラフィックなしで起動します。   期待値: VPN GW-bは5.10.11.0/24で応答し、トンネルはトラフィック セレクタの共通部分(5.10.11.0/24)を使用して確立されます。   VPN GW-a: 送信: TSi: 5.10.0.0 - 5.10.255.255 VPN GW-b: 応答: TSi: 5.10.11.0 - 5.10.11.255 [最終結果 - 重複したサブセット]   ii. VPN GW-aの背後にあるホスト(たとえば、ホスト IP 5.10.11.2)がトンネルを起動しようとします。   期待値: トラフィック セレクタ 5.10.11.0/24でトンネルが確立され、トラフィックは通過します。   VPN GW-a: 送信: TSi: 5.10.11.2, 5.10.0.0 - 5.10.255.255 VPN GW-b: 応答: TSi: 5.10.11.0 - 5.10.11.255 [共通サブセット]   Palo Alto Networks ファイアウォールがイニシエータの場合、IKE ペイロードの最初の特定トラフィック セレクタ (5.10.11.2)を送信しません。   レスポンダとして特定のトラフィック セレクタを送信するピアに対応することができます。トラフィック セレクタを共通サブセットに絞り込みます。   iii. VPN GW-aの背後にあるホスト(たとえば、ホスト IP 5.10.12.2 - VPN GW-aのポリシー内だが、VPN GW-bのポリシー外)がトンネルを起動しようとします。   期待値: VPN GW-a: 送信: TSi: 5.10.12.2, 5.10.0.0 - 5.10.255.255 VPN GW-b: 応答: TSi: 5.10.11.0 - 5.10.11.255 [共通サブセット]   PAN-OSがイニシエータの場合、レスポンダは5.10.12.2で使用可能な範囲を見つけることができないため、共通サブセット(5.10.11.0/24)を返します。トンネルを確立することができますが、特定のトラフィック セレクタは送信しません。   IPsec Multiple Phase 2 Associationsで定義されている既存の動作に基づいて、パケットはこのトンネルを介して送信されますが、レスポンダによって廃棄される可能性があります。送信側のVPN トンネルはパケットが廃棄されたことに気が付かないかもしれません。   iv. VPN GW-aの背後にあるホスト(たとえば、ホスト IP 5.9.0.2 - PN GW-bのポリシー内だが、VPN GW-aのポリシー外)がトンネルを起動しようとします。   期待値: VPN GW-a: 送信: TSi: 5.9.0.2, 5.10.0.0 - 5.10.255.255 VPN GW-b: 応答: TSi: 5.10.11.0 - 5.10.11.255 [共通サブセット]   PAN-OSがイニシエータの場合、プロキシ id 0.0.0.0/0(プロキシ IDが定義されていない場合)または最後のプロキシ ID(トンネル インターフェース上に複数のプロキシ IDが定義されている場合)がTSiで使用されます。   トラフィックはトラフィック セレクタの絞り込みに違反するため、レスポンダ(ポリシー ベース VPNの機器)で廃棄される可能性があります。 イニシエータ(PAN-OS以外の機器)が厳格なVPN ポリシー チェックを行っている場合、VPN ポリシーに違反するため、IKE ネゴシエーションがトリガーされないことがあります。   これでこのTips & Tricksは終わりです。この記事が参考になれば幸いです。     著者: Joe Delio
記事全体を表示
tsakurai ‎08-26-2018 04:52 PM
4,441件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Useful CLI Commands for Troubleshooting User-ID Agent https://live.paloaltonetworks.com/t5/Management-Articles/Useful-CLI-Commands-for-Troubleshooting-User-ID-Agent/ta-p/58239 この記事はWindows サーバ上で実行しているUser-ID エージェントに関連するCLI コマンド (PAN-OS 8.0)についてユーザーと管理者に知っていただくことを目的としています。   エージェントの状況確認 エージェントの接続状況と動作状況の確認:   admin@anuragFW> show user user-id-agent statistics Name Host Port Vsys State Ver Usage --------------------------------------------------------------------------- LAB_UIA 10.21.56.14 5007 vsys1 conn:idle 5 Usage: 'P': LDAP Proxy, 'N': NTLM AUTH, 'C': Credential Enforcement State "conn:idle" は接続済みの状態を示します。User-ID エージェントがuser-ipのマッピングのみを提供していて、LDAP プロキシやNTLM認証、認証ポリシーの実施等の他のサービスを利用していない場合、Usage は空白になります。   接続状況の詳細確認 User-ID エージェントとファイアウォールの接続状況の詳細を表示する:   admin@anuragFW> show user user-id-agent state "LAB_UIA" LAB_UIA all Show all user-id agents <value> <name> agent name admin@anuragFW> show user user-id-agent state all Agent: LAB_UIA(vsys: vsys1) Host: 10.21.56.14(10.21.56.14):5007 Status : conn:idle Version : 0x5 num of connection tried : 141 num of connection succeeded : 3 num of connection failed : 138 num of status msgs rcvd : 2972 num of request of status msgs sent : 2972 num of request of ip mapping msgs sent : 0 num of request of new ip mapping msgs sent : 0 num of request of all ip mapping msgs sent : 3 num of user ip mapping msgs rcvd : 1085 num of ip msgs rcvd but failed to proc : 0 num of user ip mapping add entries rcvd : 1693 num of user ip mapping del entries rcvd : 28 num of request of group msgs sent : 0 num of group msgs rcvd : 0 num of group msgs recvd buf fail to proc : 0 num of xml data msgs rcvd : 0 num of xml data msgs rcvd but failed to proc : 0 num of sync digest messages sent : 0 num of sync digest messages received : 0 num of sync group messages sent : 0 num of sync group messages received : 0 num of sync users messages sent : 0 num of sync users messages received : 0 num of bloomfilter requests sent : 0 num of bloomfilter response received : 0 num of bloomfilter response failed to proc : 0 num of bloomfilter resize requests sent : 0 Last heard(seconds ago) : 2 Messages State: Job ID : 0 Sent messages : 2978 Rcvd messages : 4061 Rcvd rate(msgs/s) : 0 Rcvd peak rate(msgs/s) : 1 Lost messages : 0 Failed to send messages : 0 Failed to enqueue messages : 0 Queued sending msgs with priority 0 : 0 Queued sending msgs with priority 1 : 0 Queued rcvring msgs with priority 0 : 0 Queued rcvring msgs with priority 1 : 0 Credential Enforcement Status : Disabled   ファイアウォールのエージェント設定を表示する ファイアウォールのエージェント設定を表示する: admin@anuragFW> show user user-id-agent config name "LAB_UIA" LAB_UIA <value> user-id-agent name admin@anuragFW> show user user-id-agent config name "LAB_UIA" OS: Microsoft Windows Server 2008 R2 Datacenter Edition (build 7600), 64-bit Product Version: 8.0.3 Protocol Version: 5 Agent Config: <?xml version="1.0" encoding="UTF-8"?> <user-id-agent-config> <general-settings> <authentication username="administrator@opxlab.pan" dnsdomain="opxlab.pan" netbiosdomain="opxlab" password=""/> <server-monitor security-log-enabled="1" security-log-interval="1" session-enabled="0" session-interval="10" edir-interval="30"/> <probing wmi-enabled="1" netbios-enabled="1" interval="20" init-retry-delay="3"/> <timeout enabled="1" entry-timeout="45"/> <listening-port>5007</listening-port> <xml-api enabled="0" xml-api-port="5006"/> <syslog-listening enabled="0" syslog-port="514"/> <ip-cache enabled="1"/> <edirectory base-dn="" bind-dn="" search-filter="(objectClass=Person)" domain-prefix="" login-name-attribute="uniqueID" login-address-attribute="networkAddress" login-time-attribute="loginT ime" use-ssl="1" verify-certificate="0"/> <credentials_path enabled="0" path=""/> <credentials_rodc enabled="0" interval="" auto-discover-replication-policy="0" cacheable-dn=""/> </general-settings> <acl-settings> </acl-settings> <syslog-profiles> </syslog-profiles> <server-settings> <server-entry name="win_svr62.opxlab.pan" type="active-directory" address="10.21.56.14" port="" syslog-profile="" default-domain=""> </server-entry> </server-settings> <include-exclude-settings> </include-exclude-settings> <custom-securitylog-formats> </custom-securitylog-formats> <vmmonitor-settings> </vmmonitor-settings> </user-id-agent-config> Ignore Users:   ロギング レベルの設定と表示 エージェントのロギング レベルの設定と表示には2つの方法があります。デフォルトは"Info" レベルです。 エージェント自身での設定 Use the scroll bar to view the latest logs ファイアウォールのCLIでの設定 admin@anuragFW> debug user-id agent "LAB_UIA" LAB_UIA <value> specify one agent admin@anuragFW> debug user-id agent "LAB_UIA" on debug Output error, warning, info and debug logs error Only output error logs info Only output error, warning and info logs verbose Output error, warning, info, debug and verbose logs warn Only output error and warning logs admin@anuragFW> debug user-id agent "LAB_UIA" on debug Send debug message to agent LAB_UIA admin@anuragFW> debug user-id agent "LAB_UIA" receive yes Send debug message to agent LAB_UIA   ログの表示と削除 ログを表示する際は、要件に応じて次のコマンドを使用します: less agent-log <value> tail follow <yes|no> lines <1-65535> agent-log <value> 例 -  admin@anuragFW> less agent-log 1.LAB_UIA.log 08/01/17 07:28:30:045[Debug 3534]: Device thread 1 handle msg get:user_ip. bodylen 100 xml 1 08/01/17 07:28:30:045[Debug 691]: IP 192.168.140.125 is added for initial probing. jobid 2278 08/01/17 07:28:30:045[Debug 808]: Device thread 1 sent 0 user IP mapping entries 08/01/17 07:28:30:045[Debug 77]: tid 3032: Probing IP 192.168.140.125 for jobID 2278. ... ... ...truncated for brevity...   admin@anuragFW> tail lines 10 agent-log 1.LAB_UIA.log 08/01/17 07:35:01:532[Debug 472]: UserIpMap: IP (10.21.56.153) Username (opxlab\administrator) queued for xmission to firewall 08/01/17 07:35:03:544[Debug 284]: Reading 25 security logs takes 0 ms for DC win_svr62.opxlab.pan. 08/01/17 07:35:03:560[Debug 367]: Composed ip-users msg with 1 add and 0 delete. 08/01/17 07:35:03:560[Debug 1009]: update uids is sent. 1 add 0 del. 08/01/17 07:35:04:558[Debug 3534]: Device thread 1 handle msg get:user_ip. bodylen 98 xml 1 08/01/17 07:35:04:558[Debug 3534]: Device thread 6 handle msg get:user_ip. bodylen 98 xml 1 08/01/17 07:35:04:558[Debug 691]: IP 192.168.73.16 is added for initial probing. jobid 2324 08/01/17 07:35:04:558[Debug 808]: Device thread 1 sent 0 user IP mapping entries 08/01/17 07:35:04:558[Debug 77]: tid 5224: Probing IP 192.168.73.16 for jobID 2324.   エージェント ログをクリアする際は、次のコマンドを実行します: admin@anuragFW> debug user-id agent LAB_UIA clear log debug log for agent 'LAB_UIA'(vsys1) is truncated.   ユーザーとIPのマッピング状況を表示する エージェントからのユーザーとIPのマッピング情報を表示する際は、次のコマンドを実行します: admin@anuragFW> show user ip-user-mapping all type UIA IP Vsys From User IdleTimeout(s) MaxTimeout(s) --------------- ------ ------- -------------------------------- -------------- ------------- 10.21.56.138 vsys1 UIA opxlab\administrator 495 495 10.21.56.76 vsys1 UIA opxlab\dev22 332 332 10.21.2.31 vsys1 UIA opxlab\administrator 553 553 Total: 3 users   ユーザーとIPのマッピングを更新する エージェントからのユーザーとIPのマッピング情報を更新する際は、次のコマンドを実行します: admin@anuragFW> debug user-id refresh user-id agent LAB_UIA LAB_UIA all refretch from all user-id agent <value> specify one agent admin@anuragFW> debug user-id refresh user-id agent LAB_UIA mark agent LAB_UIA(1) for refetching all   User-ID エージェントとの接続をリセットする User-ID エージェントとの接続をリセット(再接続)する際は、次のコマンドを実行します: admin@anuragFW> debug user-id reset user-id-agent LAB_UIA LAB_UIA all reconnect all user-id agent <value> specify one agent admin@anuragFW> debug user-id reset user-id-agent LAB_UIA User-ID Agent agent 'LAB_UIA' in vsys1 is marked for reset.   エージェント関連の問題を表示する エージェント関連の問題に関するuseridd.logのログを表示する際は、次のコマンドを実行します: admin@anuragFW> debug user-id set agent all all basic basic conn conn detail detail group group ntlm ntlm sslvpn sslvpn tsa tsa admin@anuragFW> debug user-id set agent basic Debug level is info admin@anuragFW> debug user-id on debug debug level set to debug admin@anuragFW> tail follow yes mp-log useridd.log 2017-08-01 07:40:12.995 +0530 Warning: pan_regip_reg(pan_reg_ip.c:1152): tag FROM_PING for ip 192.168.143.144 exists, ignore 2017-08-01 07:40:12.997 +0530 Error: cfgagent_doop_callback(pan_cfgagent.c:553): Failed to handle op command for agent: useridd 2017-08-01 07:51:13.821 +0530 debug: pan_user_id_agent_uia_handle_msg(pan_user_id_uia_v5.c:1048): handling message status   参照 User-ID Agent Setup tips User-IDエージェント設定のヒント(Tips) (日本語翻訳)   How to Install User-ID Agent and Prevent 'Start service failed with error 1069' User-ID Agent のイントール および 'Start service failed with error 1069' の予防方法(日本語翻訳)   User-ID Resource list     著者: ansharma  
記事全体を表示
tsakurai ‎08-26-2018 04:49 PM
4,499件の閲覧回数
0 Replies
※この記事は以下の DotW (Discussion of the Week) の日本語訳です。 DotW: Help with IPSec Proxy IDs with overlapping IPs https://live.paloaltonetworks.com/t5/Featured-Articles/DotW-Help-with-IPSec-Proxy-IDs-with-overlapping-IPs/ta-p/69123   プロキシ IDについてのヘルプが必要ですか?それはLive Communityでも人気のトピックのようです。いくつかの異なるシナリオをもとに、私たちのコミュニティでどのようなノウハウがトピックに取り入れられ、どのような解決策が推奨されるかを見てみましょう。   今週のDiscussion of the Week(DotW)のもととなったプロキシ IDについてのディスカッションは以下を参照してください: https://live.paloaltonetworks.com/t5/General-Topics/Proxy-IDs-help/m-p/3579   コミュニティ メンバーのNeo.The.OneはIPSec VPNのプロキシ IDに関するトピックを投稿しました。彼は対向機器としてCheck Point ファイアウォールを利用するVPNを設定しており、VPN トンネルを正しく稼働させるためにどのようなプロキシ IDの設定が必要になるか求めていました。 Neo.The.Oneは2つのシナリオを持っています: Case 1 VPN用のインターナル ネットワーク (Palo Alto Networks ファイアウォール): 173.16.10.0/24, 10.31.0.0/16, 10.40.40.0/24 対向機器の先にあるネットワーク (Check Point ファイアウォール): 不明   Case 2 VPN用のインターナル ネットワーク (Palo Alto Networks ファイアウォール): 173.16.10.0/24, 10.31.0.0/16, 10.40.40.0/24 対向機器の先にあるネットワーク (Check Point ファイアウォール): インターナルと全く同じ、172.16.10.0/24 , 10.31.0.0/16, 10.40.40.0/24   ライブコミュニティのメンバーであるHULKとSatishは、Neo.The.Oneを助ける素晴らしい答えを提供しました。   HulkはIPSec VPNのSPI キーを定義するためにプロキシ IDが必要であると説明しました。SPIはキーペアであり、ESP パケットのカプセル化/解除に使用されます。 プロキシ IDの設定はWebUIで確認することができます。Hulkはプロキシ ID設定についての素晴らしいスクリーン ショットを提供しました。   Network > IPSec トンネル (IPSec Tunnels) > 既存のトンネル名 > プロキシ ID (Proxy IDs) タブ   サブネットの重複問題に対処することで、Case 2を解決できます。 重複したサブネットとIPSec VPN トンネルを示す次の図を参照してください: トンネルの両側に同じネットワークが存在するため、トラフィックをVPN トンネル経由でルーティングする方法はありません。   この問題を解決する唯一の方法は、内部ネットワーク サブネットを新しいユニークなネットワーク サブネットに変換するためのNAT(ネットワーク アドレス変換)を両側の隣接ゲートウェイで作成するか、もしくは片方のサブネット IPを変更することです。以下の図を参照してください: この場合、いずれかの側の全てのトラフィックは、他の(同じ)ネットワークの代わりに新しいNAT アドレス宛てになります。 この解決方法では、正しい動作をさせるために両方のゲートウェイでNATを実施する必要があります。しかしこの方法を用いると、どちらの側にどのネットワークがあるのか混乱することはありません。   Neo.The.OneはSatishの提案に対し、2つの追加質問をしました: 質問: 私は0.0.0.0/0を入力するか空欄のままにする必要がありますか? 回答:  アドレスは必須です。   質問:   私はPalo Alto Networks ファイアウォールと隣接ファイアウォールの外部インターフェイスのIP アドレスをプロキシ IDの一覧に追加する必要がありますか? 回答:   はい、正しく動作させるには、外部インターフェイスのIP アドレスかNAT アドレスをプロキシ IDの一覧に追加する必要があります。   Satishは、VPN 設定の一助となるリンクとして How to Configure IPSec VPN を提供しました。   この文書がプロキシ IDとVPN トンネルの両側でサブネットが重複している場合の対処方法を理解するために役立つことを願っています。   元となったディスカッションを見るには次のリンクを使用してください: https://live.paloaltonetworks.com/t5/General-Topics/Proxy-IDs-help/m-p/3579   著者: Joe Delio
記事全体を表示
tsakurai ‎08-16-2018 11:20 PM
3,496件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Backing Up and Restoring Configurations https://live.paloaltonetworks.com/t5/Featured-Articles/Backing-Up-and-Restoring-Configurations/ta-p/65781   パロアルトネットワークス次世代ファイアウォールのバックアップからの設定情報の復元方法、保存とコミットの違い、Device > Setup > Operations > Configuration Management配下の様々なアクションについて学びます。         保存とコミットの違い   変更を設定情報ファイルに保存することと、変更をファイルにコミットすることは大きな違いがあります。パロアルトネットワークスは管理者が将来利用目的で、変更したり、それらを保存したりすることができます。しかしながら、管理者が変更を設定ファイルにコミットした場合、変更は、実行中の設定に上書きされ、即有効となります。   それゆえに、設定変更を加える前に、 実行中の設定を保存することをお勧めします。シリアスな設定ミスをして、バックアップを取得しておかなかったために、変更を戻したり、前回の設定に引き戻しすることが困難になります。   設定の保存、リストアについて パロアルトネットワークスのオペレーティングシステムは管理者に以下のオプションを提供します:     検証 候補設定の検証 戻す 最後に保存した設定に戻す   実行中の設定に戻す 保存 名前付き設定スナップショットの保存   候補設定の保存 ロード 名前付き設定スナップショットのロード   設定バージョンのロード エクスポート 名前付き設定スナップショットのエクスポート   設定バージョンのエクスポート   デバイス状態のエクスポート インポート 名前付き設定スナップショットのインポート   デバイス状態のインポート   検証—候補設定の検証   候補設定のエラーをチェックします。パロアルトネットワークスOSでは、管理者がコミットしていない、保存した設定ファイルの検証をすることができます。検証プロセスでは、設定情報上の、可能性のあるエラー、競合を精査します。管理者には出力結果が提示されます。この機能は、設定ミスや、間違った設定情報ファイルをロードすることを避けるのに、役立ちます。   戻す   もし設定情報の間違いをしてしまった場合に、オペレーティングシステムは最後に保存した設定情報、実行中の設定に即座に戻すことができます。最後に保存した設定情報、実行中の設定に違いがある場合、これらの2つのオプションは、ワンクリック復元と呼びます。どのファイルから復元するかは選択できません。両方のオプションは、2つの違う情報ソースから設定を復元します:   保存した設定情報から戻すのは、xmlファイルから復元します。 実行中の設定から戻すのは、running-config.xmlファイルから復元します。   最後の保存した設定情報に戻す   戻すオプションは、ローカル装置上の最後に保存した候補設定から復元します。現在の候補設定は上書きされます。 候補設定が保存されていない場合、エラーが発生します。重要な装置を設定している際に、素早く復元する便利な機能です。   これは最初に表示されるプロンプトで、復元を継続していいか聞いています。   2個目のメッセージでは、どのファイルから復元したか通知します。     パロアルトネットワークスの装置は、実行中の設定のスナップショットを生成し、ハードディスク上に保存します。実行中の設定の新しいバージョンは、変更したり、コミットした際に毎回作られます。これはとても便利な機能で、管理者が意図していない変更を加えた場合に素早く設定情報を以前の状態に戻すことができます。   実行中の設定に戻す   このオプションは、running-config.xmlから設定を復元します。現状の実行中の設定は上書きされます。   これは最初に表示されるプロンプトで、復元を継続していいか聞いています。     2個目のメッセージでは、どのファイルから復元したか通知します。       設定ファイルを保存する   設定ファイルを保存する方法は2つあります。   名前付き設定スナップショットを保存する。 候補設定を保存する。   これらはどういう違いがあって、なぜ2つのオプションがあるのでしょうか?   名前付き設定スナップショットの保存オプションは候補設定をファイルに保存します。保存している設定情報ファイルは実行中の設定に上書きされません。この機能は、バックアップファイルを作成したり、将来的に変更、もしくはラボ環境で試験をするためにダウンロードされた試験用の設定情報ファイルとして利用するのにとても便利です。ファイルに名前付けすることも、既存のファイルに上書きすることも可能です。注意:実行中の設定(running-config.xml)には上書きできません。   候補設定を保存 候補設定をフラッシュメモリ(ページトップにある、Saveをクリックするのと同様の意味)に保存します。   名前付き設定スナップショットのロード   候補設定を実行中の設定(running-config.xml)もしくは、以前インポートされた、保存された設定情報からロードします。ロードすべきファイルを選択します。現行の候補設定は上書きされます。   設定バージョンのロード 特定バージョンの設定情報をロードします。   名前付きされた設定スナップショットのエクスポート 実行中の設定情報(running-config.xml)もしくは過去に保存、インポートされた設定情報をエクスポートします。エクスポートすべきファイルを選択します。ファイルを開く、もしくはネットワーク上のロケーションに保存します。   設定情報バージョンのエクスポート 特定バージョンの設定情報をエクスポートします。   Panoramaおよびデバイスの設定バンドルのエクスポート(Panoramaのみ) Panoramaと管理している各々のファイアウォールの最新バージョンの実行中の設定情報バックアップを手動で生成、エクスポートします。自動的に生成、エクスポートするバンドル設定情報を日次でSCPもしくはFTPサーバに保存する方法については“Scheduling Configuration Exports"を参照ください。   デバイス状態のエクスポート(ファイアウォールのみ) この機能は設定情報と動的情報をGlobalProtectポータルにて、大規模なVPN機能を有効設定しているファイアウォールからエクスポートする場合に使われます。もしポータルが失敗に遭遇している場合に、エクスポートされたファイルをインポートすることによって、ポータルの設定や、動的情報を復元することができます。   エクスポートされたファイルには、ポータルが管理しているサテライトデバイスリストや、エクスポートされたタイミングでの実行中の設定情報、そして、全ての証明書情報(Root CA, サーバ情報、サテライト証明書)が含まれます。   重要 : 手動で、機器ステートのエクスポートを走らせるか、ファイルをリモートサーバにエクスポートするスケジュールされたXML APIスクリプトを作成する必要があります。サテライト証明書がしばしば変更になる可能性があるため、これは定期的に実施する必要があります。   デバイス状態ファイルをCLIから作成するためには、設定モードから、デバイス状態の保存を実行する必要があります。 ファイル名はdevice_state_cfg.tgzとなり、/opt/pancfg/mgmt/device-stateディレクトリに保存されます。ファイルをエクスポートするオペレーショナルコマンドは、scp export device-state(tftp export device-stateも利用可能)です。XML APIを使用した情報については、XML API Usage Guideを参照ください。   名前付き設定スナップショットのインポート 設定情報ファイルをネットワークのロケーションからインポートします。Browseをクリックし、設定すべき設定情報ファイルを選んでください。   デバイス状態のインポート (ファイアウォールのみ) エクスポートオプションを使ってエクスポートされたデバイス状態をインポートします。これは、実行中の設定、Panoramaテンプレート、共有のポリシーを含みます。もし装置がGlobal Protectポータル設定がある場合、エクスポートされたファイルは、証明局(CA)情報、サテライト装置のリスト、そしてそれらの認証情報を含みます。   著者: rchougale
記事全体を表示
kkondo ‎08-16-2018 10:27 PM
8,098件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 What are suspicious DNS queries? https://live.paloaltonetworks.com/t5/Threat-Vulnerability-Articles/What-are-suspicious-DNS-queries/ta-p/71454   PAN-OS装置にて、疑わしい(Suspicious)DNSクエリがトリガーした脅威ログを示しています。   Detail of Threat log with Suspicious DNS Query.   疑わしい(Suspicious)DNSクエリのシグネチャとは? 疑わしい(Suspicious)DNSクエリのシグネチャは、潜在的にC2トラフィックに関連するドメインへのDNS名前解決をチェックします。このC2トラフィックはマシンが乗っ取られた兆候の可能性もあります。   疑わしいDNSクエリ・シグネチャは、多層防御を提供するために、キルチェーンの中のあらゆるポイントに保護を適用するPalo Alto Networks のアプローチのひとつです。これにより、攻撃者は攻撃を成功させるために追加の検査ポイントを回避する必要がでてきます。昨今の脅威環境は動的であるため、アンチウイルス、脆弱性エクスプロイトの検出、URLフィルタリングは有効ですが、さらに多くのことが可能です。 それは、潜在的な悪意のある接続先への接続を、名前解決が行われる前に切断することです。   疑わしいDNSシグネチャはアラート設定や、接続をリセットまたはドロップすることによって名前解決をブロックする設定、もしくは製品に備わっているDNSシンクホール機能を利用して被疑対象に接続しないような設定ができます。 パロアルト ネットワークスのベスト プラクティスは、疑わしいDNSクエリの送信元IPを特定できるように、シンクホールに設定することです。   不審なDNSクエリー・シグネチャはどのように機能しますか? どのように提供されますか? 疑わしいDNSクエリー・シグネチャ(以降、SDNSシグネチャ)は、シグネチャが存在するドメインへの名前ルックアップを検査するPAN-OSアプライアンスを通過するDNSトラフィックを元に動作します。 パケットのキャプチャがSDNSシグニチャで有効化されている場合、その中には単順に特定のドメインへのDNSクエリーが含まれます。     SDNSシグネチャは、パロアルト ネットワーク ス  バックエンドのインテリジェンス情報収集の結果です。 WildFireサンドボックスにて検体を走らせた際の結果、外部インテリジェンス フィード、および研究者からの分析、などがその例です。   作成されたシグニチャは、次の2つの方法でPAN-OS機器に送られます。   WildFireコンテンツ、脅威ID 3,800,000  - 3,999,999 。 デバイスのWildFireコンテンツ アップデート スケジュールの更新頻度の設定、およびシグネチャがまだ有効かどうかに応じて、15分ごとに更新することも可能です。 これらのシグネチャは、次のフォーマットで脅威ログに表示されます。Malwarefamilyname:domain(例: None:google[.]com)シグネチャを生成するために使用されたサンプルにファミリーネームが関連付けられていない場合は、「None」が代わりに使用されます。   アンチウイルス コンテンツ、 脅威ID  4,000,000  - 4,199,999 。 アンチウイルス  コンテンツは、通常、およそ午前7時(EST)に、24時間に1度リリースされます。これらのシグネチャは、次の形式で脅威ログに表示されます。 Suspicious DNS Query:  Malwarefamilyname:domain(例:Suspicious DNS Query: None:google[.]com)シグネチャを生成するために 使用されたサンプルにファミリーネームが関連付けられていない場合は、 「None」が代わりに使用されます。 シグネチャは、コンテンツの「スパイウェア」部分に表示されます。 シグネチャ の脅威ID番号によって識別できるものの詳細については、 このリンク(英文)を参照ください。 (※ 訳注:前述した脅威IDの範囲についても、最新情報はこのリンク先の記事を参照してください。)      以前に検知されたSDNS クエリー シグネチャは、脅威モニターで名前が変更されていることに気が付いているかもしれません。なぜ起こったのか疑問に思うかもしれません。   現在のSDNSシグネチャの実装について、コンテンツの場合は一般的に、現在のコンテンツ内で各脅威にはIDが割り当てられています。割り当てられるコンテンツ スペースは無限でないため、とある時点において、SDNSコンテンツ スペースで最もアクティブで危険な脅威を保つことが優先事項です。脅威の状況が急速に変化するため、シグネチャは置き換えられることがあります。   脅威モニターUIの現在の実装では、現在ファイアウォールにインストールされているコンテンツ データベースから直接「名前」フィールドが照会されます。これが意味することは、一旦脅威モニターがロードされると、あるドメインで読み取られた以前のシグネチャトリガーが、現在のシグネチャに関連されたものに置き換わって表示されるようになることです。   例: WildFireコンテンツ1では、Google[.]comがSDNS脅威ID 3,800,000に割当てられています。 この脅威が検知されると、 脅威ID  3,800,000 Google[.]com が脅威ログに記録されます。 WildFireコンテンツ2がインストールされます。 WildFireコンテンツ2では、Bing[.]comがGoogle[.]comに代わってSDNS 脅威ID  3,800,000が割当てられています。 以前、脅威ログに記録されていたものは、Bing[.]comとして誤って表示されます。   今のところ、最も単純な回避策は、DNSトラフィックが通過しているセキュリティ ルールに割り当てられたアンチスパイウェア プロファイルを開いて、SDNSシグネチャでパケット キャプチャ採取を有効にすることです。 パケット キャプチャは静的なデータであり、変更されません。     DNSシグネチャが変更される理由については この記事 を参照ください。   不審なDNSクエリー・シグネチャの発生を検知したらどうすべきですか? SDNSシグネチャ トリガーは、必ずしもスパイウェア感染を指し示すものではありませんが、他のインジケーターと共に使用して、危険にさらされている可能性のあるホストを特定するのに利用できます。ホストは、悪意のある行為であると言い切れない外向けネットワーク接続パターンを表示している可能性があります。   ホストがSDNSシグネチャが存在するドメインへのトラフィックを生成すると、プロアクティブなセキュリティ アナリストは、ネットワーク上のトラフィックを特定して検査やその他のアクションを保証するのに役立ちます。 もしホスト・トリガーにてSDNSシグネチャが検知されたのと同時に、AV検出、脆弱性シグネチャー検出、またはマルウェアとして分類されたURLのWeb閲覧などが見受けられた場合は、SDNSシグネチャを使用したことにより、そのホストに対してさらなるアクションが必要であることに確信が持てます。   AutoFocusのご使用の場合は、WildFireサンプルやその他の公開サンプルを調べ、マルウェアの判定を受けかつ特定のドメインに到達したサンプルを検索することができます。これにより、アナリストは、インシデント レスポンス アクションに備えるために、シグネチャが存在する理由と、疑わしいドメインへのトラフィックを生成したサンプルの動作を理解するのに役立ちます。 AutoFocus showing a query on a suspicious DNS domain. そのシグネチャーをさらに調べるために、サードパーティーからのオープンソースの情報源は、セキュリティ コミュニティがどのような種類のインテリジェンスを、そのドメインに対して持っているかを調べるのに、とても良い方法です。   いくつかのサードパーティーを利用した調査サンプル例: VirusTotal URLスキャンを使用して、他のベンダーの検査結果を確認します。 PassiveTotalを使用して、ドメインのパッシブDNS履歴を確認します。 WHOISを活用して、ドメインの所有者、登録日時、その他のデータの詳細を確認します。   アラートが調査するに値すると決まったら、ホスト上のパケットキャプチャによって、ユーザのアクティビティや疑わしいトラフィックなどのコンテキストデータを参照することは、さらなるアクションが必要かどうかの追加設定の助けとなります。   上記のすべてを行っても、特定のSDNSシグネチャが大量のアラートを生成していて、かつ、あなたが確認する限りそのドメインに対してネガティブな活動が見受けられない場合はどうしたらいいでしょうか?   この場合、Palo Alto Networksのサポートは、シグネチャが無効にすべき候補であるかどうかを特定する手助けをいたします。多くのお客様にシグネチャが重大なノイズを生成しているように見える場合は、脅威ログの調査に時間を浪費しないようにして欲しいと思います。 ただし、そのシグネチャに対し確証がある場合は、スパイウェア プロファイルの例外機能を活用して、トラフィックを許可してアラートを停止することができます。   不審なDNSクエリー・シグネチャのサンプル例:   SHA256の”932836effd33218470e1c78dad3505d59af31ecff599e875ed79f47114552883”をサンプル例としてみてみましょう。   このサンプルはPEファイルで、一旦実行すると、いくつかの不審なC2 HTTPトラフィックを作り出します。     結果、該当ドメインへのトラフィックを止めるためのC2ドメイン・シグネチャが生成されました。  
記事全体を表示
kkondo ‎08-14-2018 07:02 AM
5,477件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Getting Started: Layer 3 Subinterfaces https://live.paloaltonetworks.com/t5/Featured-Articles/Getting-Started-Layer-3-Subinterfaces/ta-p/67395   ファイアウォールを開梱して、Vlan(サブ・インターフェイス)の設定をしたい     現在、新しいパロアルトネットワークス・ファイアウォールが起動して、動作している状況です。作成した様々なLayer 3サブ・インターフェイスにタグ付けしたVLANを追加してみましょう。一連の導入設定ガイドでは、ファイアウォールの箱を開梱し、ソフトウェアのアップグレード、VWireもしくはLayer3モードの設定が終わった後の最初のステップについて記述しています。 I've unpacked my firewall, now what?  と  I've unpacked my firewall and did what you told me, now what?  を参照してください。   あなたの組織では、インターネット上のWeb Serverとユーザのワークステーションを分けるために複数のネットワークセグメントが存在しているかもしれません。これらのネットワークが相互に通信するのを防ぐには、コアスイッチにVLANを実装し、両方のバーチャルネットワークを接続するブリッジやゲートウェイなしで、1つのVLANにあるホストが別のVLANにあるホストと通信できないようにします。   まず、前回の導入設定ガイドの続きから見ていきましょう。ファイアウォールにはLayer3インターフェイスがあり、トランクインターフェイスと通信できるようにTrustインターフェイスを変更する予定です。   レギュラーもしくはアクセス・スイッチポートとトランク・スイッチポートの違いは、アクセス・ポートがいかなるパケットでもイーサネットヘッダーを改ざんしないのに対して、トランク・ポートは IEEE 802.1Q ヘッダーの形式でVLANタグを付加することです。これにより、パケットはスイッチ外でVLAN情報を保持し、これらのパケットを受信する次のホストによって違うLANネットワークとして扱われることが保証されます。   interface GigabitEthernet1/36  switchport  switchport access vlan 100  switchport mode access  switchport nonegotiate  spanning-tree portfast ...reconfigure... interface GigabitEthernet1/36  switchport  switchport trunk allowed vlan 100,200  switchport mode trunk  switchport nonegotiate spanning-tree portfast インターフェイス設定を、VLANタグ設定のサブインターフェイスに変更します。   1. サブインターフェイス設定   最初に物理ファイアウォールからIP設定を削除します。 Networkタブに移動。 左パネルのInterfacesに移動。 Interface設定を開く。 IPv4タブを開く。 ネットワークアドレスを選択。 Deleteをクリック。   サブインターフェイスを追加する準備ができました。   サブインターフェイス設定では、インターフェイス番号とタグを割り当てます。タグはVLANと一致している必要がありますが、インターフェイス番号は違っても構いません。管理を容易にするために、双方を同じにしたほうがよいでしょう。そしてインターフェイスをDefault Virtual Routerに割り当て、Trustセキュリティ・ゾーンに設定します。     次に、IPv4タブに移って、インターフェイスにIPアドレスを追加します。   次に、Advancedタブに移り、Management Profileで'ping'を選択します。     次に、Webサーバーを次の図のようにスイッチのVLAN 200に加えます。   第2のサブインターフェイス設定が必要で、それをVLAN 200タグに設定します。違うセキュリティ・ゾーンを作成し、違うセキュリティ・ポリシーを設定することができます。   'dmz'ゾーンを作成します。     そして、違うインターフェイスとIPサブネットを割り当てます。   そしてManagement Profileに'ping'を設定します。   インターフェイス設定は以下のようになっているかと思います。   2. DHCP再設定   前回設定したDHCPサーバー設定を新しいサブインターフェイス設定に移動します。 Networkタブに移動。 左パネルから、DHCPメニューを選択。 インターフェイスethernet1/2用のDHCP設定を開く。 インターフェイスをethernet1/2.100に新しいサブインターフェイス設定に一致するよう変更。   3. 新しいNAT ポリシー設定   次のステップは、ファイアウォールの外部アドレス経由で、インターネット上のWebサーバにホストが接続するためのNATポリシーを設定します。 Policiesタブに移動。 NAT設定を左側パネルから選択。 Addをクリックして、新しいNATポリシーを作成。     Original Packetタブでは送信元、宛先ゾーンをuntrustそして、宛先アドレスを、ファイアウォールの外部アドレスに設定します。宛先ゾーンがuntrustなのは、ファイアウォールは宛先ゾーンを受信パケットのルーティングテーブルベースで決定するからです。この場合、NAT変換前の宛先IPアドレスが適用され、untrustゾーンとなります。   Translated Packetタブでは、Webサーバーの物理アドレスを設定します。   4. Securityポリシーの追加   最後のステップでは、Webサーバーにアクセスするために、TrustからUntrustゾーンを許可するSecurityポリシーを追加します。 Policiesタブに移動。 左パネルからSecurityを開く。 Addをクリックして、access_to_webserverという名前のSecurityポリシーを追加。 ここでは、送信元ゾーンが'untrust'を選択、   宛先には'dmz'を選択、宛先アドレスには、ファイアウォールの外部IPアドレスを設定します。   アプリケーションにはweb-browsingを追加し、   攻撃者からWebサーバーを守るために、必要なSecurityプロファイルを選択します。   TrustゾーンからのSecurityポリシーのステップを繰り返し、追加のアプリケーションを設定します。   Destinationでは、Securityゾーンに'dmz'を、アドレスにはWebサーバーの内部アドレスを設定します。   追加の管理用Applicationsを加えます。   設定されたSecurityポリシーは以下の様になっています。   新しい設定をcommitした後に、インターフェイスethernet1/2がVLAN 100と200のタグ付きパケットを処理でき、Webサーバーが外部インターネットに対して公開されていることが確認できます。    もしこの記事に興味がありましたら、次のフォローアップ記事も併せてご参照ください。 I’ve unpacked my firewall, but where are the logs?   著者: reaper
記事全体を表示
kkondo ‎08-02-2018 07:19 PM
5,978件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Dead Peer Detection and Tunnel Monitoring https://live.paloaltonetworks.com/t5/Configuration-Articles/Dead-Peer-Detection-and-Tunnel-Monitoring/ta-p/61371   概要 デッド ピア検出(DPD)とは、非アクティブまたは使用不能なインターネット鍵交換(IKE/Phase1)ピアを検出する方法で、RFC 3706に記載されている機能を指します。トンネル モニタリングはPalo Alto Networks独自の機能で、IPSEC トンネルの対向インターフェイスに対してPINGを送信することで、IPSEC トンネルをトラフィックが正常に通過することを確認します。トンネル モニタリングを"モニター プロファイル"と組合わせて使用することで、トンネル インターフェースをダウンさせるとともに、ルーティングを更新し、トラフィックをセカンダリ ルートを用いてルーティングできるようにします。トンネル モニタリングはDPDを必要としません。デッド ピア検出はIPSEC トンネルの両端で有効または無効にする必要があり、片方が有効でもう片方が無効の状態の場合、VPNの信頼性に問題を引き起こす可能性があります。   詳細 デッド ピア検出 DPDはIKE-SA (Security Association and IKE, Phase 1) の死活監視機能です。 DPDはピア デバイスがまだ有効なIKE-SAを持っているかどうかを検出するために使用されます。定期的に"ISAKMP R-U-THERE" パケットをピアに送信し、ピアは"ISAKMP R-U-THERE-ACK" パケットで確認応答します。   Palo Alto Networksは現時点でDPD パケットに関連するログをもっていませんが、デバッグ パケット キャプチャで検出できます。以下はピア デバイスからのpcapです:   Mar  4 14:32:36 ike_st_i_n: Start, doi = 1, protocol = 1, code = unknown (36137), spi[0..16] = cd11b885 588eeb56 ..., data[0..4] = 003d65fc 00000000 ... Mar  4 14:32:36 DPD; updating EoL (P2 Notify Mar  4 14:32:36 Received IKE DPD R_U_THERE_ACK from IKE peer: 169.132.58.9 Mar  4 14:32:36 DPD: Peer 169.132.58.9 is UP status_val: 0.   DPD のクエリと遅延間隔は、Palo Alto Networks デバイスでDPDが有効になっているときに設定できます。DPDはピアが応答しなくなったことを認識するとSAを破棄します。 注: DPDは永続的ではありません、またフェーズ2のRe-Keyによってのみトリガーされます。つまりフェーズ2が稼働している場合、Palo Alto Networks ファイアウォールはIKE-SAがアクティブかどうかを確認しません。フェーズ1のIKE-SAを確認するためのDPDをトリガーするために、フェーズ2のRe-Keyをトリガーするには、トンネル モニタリングを有効にします。   トンネル モニタリング トンネル モニタリングはIPSec トンネル全体の接続性を確認するために使用されます。トンネル モニター プロファイルを作成する際に、トンネルが使えない場合の2つのアクション オプションとして、"回復を待機(Wait Recover)"か"フェイル オーバー(Failover)"のどちらかを指定します。 回復を待機: トンネルが回復するまで待機し、他のアクションは実行しません。 フェイル オーバー: 利用可能な場合、トラフィックをバックアップ パスにフェイル オーバーします。 どちらの場合も、復旧を早めるためファイアウォールは新しいIPsec キーのネゴシエートを行います。 指定されたアクションを実行する前に待機するハートビートの数を指定するために、"しきい値(Threshold)"オプションを設定することができます。この範囲は2~100で、デフォルトは5です。"ハートビート間隔(Interval)"も設定できます。範囲は2~10で、デフォルトは3秒です。   以下に示すように、トンネル モニタリング プロファイルが作成できたら、それを選択し監視するリモート エンドのIP アドレスを入力します。   著者: panagent
記事全体を表示
tsakurai ‎07-31-2018 06:27 PM
4,414件の閲覧回数
0 Replies
1 Like
※この記事は以下の記事の日本語訳です。 Disk-image/machine-image backup support for VM-Series https://live.paloaltonetworks.com/t5/Management-Articles/Disk-image-machine-image-backup-support-for-VM-Series/ta-p/220066   ユーザーが作成した Disk-image 又は Machine-image を用いた VM -Seriesファイアウォールの復元はパブリックプラウドを含めた全てのハイパーバイザーにおいてサポートされてません。 これは 全般的 にVMのディスクやメモリー内容をコピーする機能を用いた復元も対象外となります。 VM -Seriesファイアウォールを復元するには、Base image file又はパブリッククラウドのマーケットプレースを使って新しく構築した VM -Seriesファイアウォール上でPAN-OS コンフィグのバックアップをインポートしてご使用ください。
記事全体を表示
oconnellm ‎07-31-2018 06:26 PM
3,578件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Tips & Tricks: Forward traffic logs to a syslog server https://live.paloaltonetworks.com/t5/Featured-Articles/Tips-amp-Tricks-Forward-traffic-logs-to-a-syslog-server/ta-p/71966   トラフィックログをPalo Alto Networks ファイアウォールからSyslog サーバに転送する必要がありますか?レポーティング、法令上、保存領域といった理由から、それらのログをファイアウォールからSyslog サーバに転送設定する必要があります。このステップ バイ ステップにそって設定してみてください。トラフィック ログをSyslog サーバに転送するには以下の4つのステップが必要です。   Syslog サーバ プロファイルの作成。 ログ転送プロファイルの作成。 作成したログ転送プロファイルをセキュリティ ポリシーに設定。 コミットにて変更を反映。 ステップ1. Syslog サーバ プロファイルの作成 WebUIからDevice > サーバー プロファイル (Server Profiles) > Syslogに移動。 2. 名前 (Name) : Syslog サーバ プロファイルの名前を入力 (最大31文字)。名前は大文字小文字を区別し、ユニークでなければなりません。      使える文字は、アルファベット、数字、スペース、ハイフンとアンダースコアです。 3. 追加 (Add) をクリックし、Syslog サーバ名を入力 (最大31文字)。名前は大文字小文字を区別し、ユニークでなければなりません。      使える文字は、アルファベット、数字、スペース、ハイフンとアンダースコアです。     Syslog サーバー (Syslog Server): Syslog サーバのIPアドレスを入力。 転送 (Transport): Syslog メッセージを送付するプロトコルをUDP、TCPもしくはSSLから選択。 ポート (Port): Syslog サーバのポート (スタンダードポート : UDPは514; SSLは6514; TCPは任意の番号を指定)を入力。 フォーマット (Format): 使用するSyslog フォーマット: BSD (デフォルト設定) もしくはIETFを指定。 ファシリティ (Facility):  Syslogのスタンダード値の一つを選択。Syslog サーバがFacility フィールドをどのように使ってメッセージを管理するかマッピングします。Facility フィールドの詳細については、 RFC 3164  (BSD format)もしくは RFC 5424 を参照ください。   あなたのSyslog サーバ プロファイルが、以下の設定例のように作成できました。     外部レポーティング ツールと連携するために、ファイアウォールはログ フォーマットをカスタマイズできます。さらに、カスタム キーの追加もできます。カスタム フォーマットは以下から設定できます。 Device > サーバー プロファイル (Server Profiles) > Syslog > プロファイル名 > カスタム ログ フォーマット (Custom Log Format):   ArcSightのCommon Event Format (CEF)に準拠したログフォーマットについては CEF Configuration Guides  を参照ください。   ステップ2. ログ転送 (Log forwarding) プロファイルの作成 WebUIからObjects > ログ転送 (Log forwarding)に移動し、追加 (Add)をクリックします。         名前 (Name): プロファイル名(最大31文字)。この名前はセキュリティ ポリシーに設定した場合に、ログ転送プロファイルの一覧に表示されます。名前は大文字小文字を区別し、ユニークでなくてはなりません。使えるのはアルファベット、番号、スペース、ハイフンそして、アンダースコアです。 Syslog : トラフィック ログを送付する宛先を指定するために、Syslog サーバ プロファイルを選択します。 設定を確認してOKをクリックします。   ログ転送プロファイルが作成できました。以下のサンプルのようになっていると思います。     ステップ3. 作成したログ転送プロファイルをセキュリティ ポリシーに設定   WebUIからPolicies > セキュリティ (Security)に移動。     ログの転送設定をしたいルールを選びます。画面サンプル例はAny Allowを選択。         次に、アクション (Actions) タブに移動し、ドロップダウンから作成したログ転送プロファイルを選択し、設定が完了したらOKをクリック。     OKをクリックした後、設定したセキュリティ ルールのオプション (Options)欄に、Forwarding アイコンが表示されます。     ステップ4. 設定が完了したら、コミット (Commit)し設定を反映する。   著者: Kim
記事全体を表示
kkondo ‎07-30-2018 02:16 AM
7,938件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 When Does Palo Alto Networks Firewall Send a TCP Reset (RST) to Terminate a Session? https://live.paloaltonetworks.com/t5/Learning-Articles/When-Does-Palo-Alto-Networks-Firewall-Send-a-TCP-Reset-RST-to/ta-p/56572   TCP リセットはTCPのセッションを即時クローズします。これにより、コネクションに割当てられたリソースを解放し、システムを再利用することができます。リセットを受け取る側は、クライアント側であり、セッションが突然閉じられることで、送ろうとしたデータを送付できなかったかもしれません。   Palo Alto Networks ファイアウォールがTCP リセットを送るのは、トラフィック・フローで脅威を感知した場合のみです。それ以外の場合のTCP リセットはファイアウォールからのものではありません。   著者: aprasanna
記事全体を表示
kkondo ‎07-30-2018 01:45 AM
5,139件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Tips & Tricks: What Does Application-default Under Service Mean? https://live.paloaltonetworks.com/t5/Learning-Articles/Tips-amp-Tricks-What-Does-Application-default-Under-Service-Mean/ta-p/54167     サービスの Application-default は何を意味するか? ルールを作成する際には、ルールを構成する多くのコンポーネントがあります。よく質問される紛らわしいものの1つは、サービスの設定にある"Application Default"です。   "サービス/URL カテゴリ"セクションでは、アプリケーションが使用するポートを定義できます。 例: アプリケーション "web-browsing" (http)は、TCP ポート 80を使用します。 どのルールの中であっても、"サービス/URL カテゴリ"タブの下には、画面の左側にドロップ ダウン メニューがあります。 次の3つのオプションを見ることができます: Any 選択 (Select) Application-default   これらはどういう意味ですか? Any - これは単純に全てのポート(TCP/UDP: 1-65535)を意味します。選択したアプリケーションは、全てのプロトコルまたはポートで許可または拒否されます。 選択 (Select) - これは許可またはブロックしたいアプリケーションが使用するTCPまたはUDPのポートを正確に指定する必要があることを意味します。既存のサービスを選択するか、"サービス"または"サービス グループ"をクリックし、新しいエントリを作成します。 Application-Default - これは選択したアプリケーションがPalo Alto Networksによって定義された標準ポートでのみ許可または拒否されることを意味します。アプリケーションが通常ではないポートやプロトコルで実行されることを防ぐのでこのオプションは許可ポリシーの作成において推奨されています。通常ではないポートやプロトコルの通信は、意図的ではない場合、望ましくないアプリケーションの動作や使用状況の兆候となります。 注: このオプションを使用する場合、デバイスは引き続き全てのポートで全てのアプリケーションをチェックしますが、この設定ではアプリケーションは標準ポート/プロトコルでのみ使用できます。   以下にDNSを例として見てみます: 最初のルールはDNS アプリケーションを許可するように設定されていますが、サービスとしてUDP ポート 53のみが設定されています。 2番目のルールはDNS アプリケーションを許可するように設定されていますが、サービスとして"application-default"が設定されています。   これはDNSがTCP ポート 53を使用していた場合、これが最初のルールで許可されないことのデモンストレーションです。 しかし、2番目のルールはそれを許可します。   DNSアプリケーションを確認する場合は、Objects > アプリケーション へ移動し、検索スペースに"DNS"と入力し、下部の一覧表示から"dns"をクリックすると、次の画面が表示されます: アプリケーションの標準ポートが一覧表示されています: tcp/53, udp/53, 5353   最初のルールではUDP ポート 53のみが許可されており、アプリケーションがTCP ポート 53やUDP ポート 5353を使用する場合は、ルールで"application-default"が使用されていないので許可されません。 これはアプリケーションをブロックするためにも使用できます。これは全てのTCPまたはUDP ポートを指定する代わりに、"application-default"を許可するほうがはるかに簡単であることを示す簡単な例です。   これはアプリケーションとして"any"が設定されたルールにも適用され、どのアプリケーションと識別されたとしても、そのアプリケーションでは標準ポートのみ許可されます。   CLIを用いてアプリケーションの標準ポートに関する詳細を表示するには以下記事を参照してください: How to View Application-Default Ports for an Application (英文)   著者: Joe Delio  
記事全体を表示
tsakurai ‎07-30-2018 01:45 AM
5,433件の閲覧回数
0 Replies
Ask Questions Get Answers Join the Live Community