About ymiyashita

※この記事は以下の記事の日本語訳です。 Packet drop caused by DoS Protection Rule with "src-dest-ip-both" Classified setting https://live.paloaltonetworks.com/t5/Configuration-Articles/Packet-drop-caused-by-DoS-Protection-Rule-with-quot-src-dest-ip/ta-p/227001     事象 DoS プロテクション ルール適用後にパケット ドロップが発生。 脅威ログには、DoS  プロテクションに関連したログは生成されない。   この事象は、DoS プロテクション ルールにおいて Classified 設定がされており、その中のアドレスの設定で "src-dest-ip-both" を選択した際に起きる傾向にあります。   この問題は、実際のアクティブ セッション数がプラットフォームがサポートする最大セッション数、また DoS プロテクション プロファイル内の "最大同時セッション数" よりも少ない状況下であっても起き得ます。     この間、以下のグローバル カウンターがカウントされます。 flow_dos_rule_drop             Packets dropped: Rate limited or IP blocked flow_dos_rule_drop_classified  Packets dropped: due to classified rate limiting flow_dos_no_empty_entp         Unable to find empty classified entry during insertion   原因 もし上記のカウンターに同じ数の上昇が見受けられるようであれば、 classificationテーブルへの ハッシュの挿入に失敗したことによるパケットがドロップが起きたことを指し示します。 ハッシュの挿入の失敗は、 classificationテーブルを使い切ってしまった場合か、ハッシュの衝突が起きたときに発生します。 "src-dest-ip-both" の設定を行った場合、ファイアウォールは送信元IPと宛先IPのペアを基にセッションをトラックする必要があり、それによってより多くのエントリーがclassificationテーブルに追加されることになります。エントリー数が増えれば増えるほど、ハッシュの衝突が起きる可能性は高くなります。   解決方法 -  Classified設定の中で、"src-dest-ip-both" の代わりに  "source-ip-only" または "destination-ip-only" を選択する。 - Classified設定の代わりにAggregate設定を使用する。 - "debug dataplane reset dos classification-table" コマンドを実行し、classificationテーブルをクリアする。注: これは一時的な回避策となります。 - DoS プロテクション ルールを設定する際に、適用範囲をより限定的にする。例えば、すべてのゾーンを含めるのではなく、適用するゾーンの数を減らす等。       ... View more

※この記事は以下の記事の日本語訳です。 Recommended update interval and timings for Dynamic Updates https://live.paloaltonetworks.com/t5/Management-Articles/Recommended-update-interval-and-timings-for-Dynamic-Updates/ta-p/215475     はじめに 本ドキュメントでは、ダイナミック更新における繰り返し周期および更新タイミングの推奨値について記載しています。  アップデート サーバーにおけるネットワーク負荷は特定のタイミングによって高かったり低かったりします。安定してアップデートを受け取るために、ダイナミック更新を行う際にはサーバーの負荷が高いタイミングをなるべく避けることをお勧めします。     推奨 1. 繰り返し周期の設定 繰り返し周期はなるべく短く設定することをお勧めします。そうすることによって、次のアップデートのタイミングが早く来るためです。   例えば、繰り返しの設定（Recurrence）が "毎日"に設定されており、仮にダイナミック更新に失敗した場合は、次の日になるまでダイナミック更新が行われません。"毎時"に設定しておくことによって、次の更新を1時間後に走らすことができます。   2. 更新タイミングの設定 (分、日時) 以下のタイミングは避けて設定するようにお勧めします。 00/01/02/03/05/10/15/16/20/25/30/31/35/40/45/46/50/55 (分)     PAN-OS 6.1                                        日時（Time）の箇所はプルダウン メニューですが、手動で値を変更することも可能です。   PAN-OS 7.0                                       日時（Time）の箇所はプルダウン メニューですが、手動で値を変更することも可能です。   PAN-OS 8.0                     PAN-OS 8.1                                     ここに書かれた推奨設定は、アンチウイルス、WildFire 、アプリケーションおよび脅威、の全てが対象となります。（ただし、WildFireのアップデートが毎分更新に設定されている場合を除きます。）   必要に応じて、ファイアウォールが最新のコンテンツをインストールするまでどれくらい待つかを決める ”しきい値” を設定してください。詳細については、管理者ガイド（ベストプラクティスの章）や以下の記事を参照してください。   https://www.paloaltonetworks.com/documentation/document-search?q=Best+Practices+for+Application+and+Threat+Content+Updates（英文） https://live.paloaltonetworks.com/t5/Management-Articles/Dynamic-updates-scheduled-with-a-threshold-set-but-are-never-or/ta-p/65952（英文） ... View more

※この記事は以下の記事の日本語訳です。 Threat Database Handler (Commit Error) https://live.paloaltonetworks.com/t5/Featured-Articles/Threat-Database-Handler-Commit-Error/ta-p/120490     問題/現象 Palo Alto Networks デバイスにて以下のエラーでコミットが失敗します。   Threat database handler failed Commit failed Failed to commit policy to device     原因 AV アップデート プロセスや、コンテンツ アップデート プロセスが特別な理由もなく不意に失敗することがあります。この問題はPA-200においてよく見られますが、 PA-3000 のような他のプラットフォームでも見受けれます。壊れたAV シグネチャー データベース、またはコンテンツのデータベースがこれらのコミットの失敗を引き起こします。   回避策 CLIから Anti-Virus を手動でインストールすることによって、この問題を回避できるようになります。まず Anti-Virus ファイルを https://support.paloaltonetworks.com  > Dynamic Updates から手動でダウンロードし、そのファイルをパロアルトネットワークス ファイアウォールにアップロードします。アップロード後、以下のコマンドをCLIにて実行し、手動でAVをインストールします。   > request anti-virus upgrade install file panup-all-antivirus-2276-2715.candidate.tgz 2016/02/23 15:21:13 97473.4K panup-all-antivirus-2283-2722.candidate.tgz 2016/03/01 15:27:58 102607.3K <value>   もしこの回避策を行っても問題が解決しなければ、PAN-OS を以下に記載したバージョン以降のものにアップグレードするか、パロアルトネットワークス サポートにお問い合わせください。   解決手段 本問題に関する修正がPAN-OS バージョンの  7.1.2, 7.0.8, 6.1.13に含まれています。   トラブルシューティング 本事象のエラーが起きているかどうかは、device server ログ内に出てくる以下のAVキャッシュのエラーがあるかどうかで判断してください。   2016-02-24 01:39:29.493 -0500 [TDB] Load virus cache now 2016-02-24 01:39:29.493 -0500 load virus cache /opt/pancfg/mgmt/updates/curav/ 2016-02-24 01:39:29.493 -0500 Virus - Content Engine version: 0x7000000 version 6e308c2, min_ threat _version 92007b , path /opt/pancfg/mgmt/updates/curav/ 2016-02-24 01:39:29.814 -0500 Error: pan_tdb_do_load_virus_serialize(pan_tdb_ser.c:735) : Virus version mismatch 0x6df08be vs 0x6e308c2 2016-02-24 01:39:29.862 -0500 Error: pan_tdb_do_load_virus_cache(pan_tdb_handler.c:365) : [TDB] Load /opt/pancfg/mgmt/updates/curav//cache/virus.cache. ser-8 error, will load again 2016-02-24 01:39:29.862 -0500 [TDB] Loaded path /opt/pancfg/mgmt/updates/curav/ cache loaded 0 skip 0 2016-02-24 01:40:10.202 -0500 Error: pan_tcomp_sqlite3_compile(pan_tcomp_sqlite3.c:295) : SQL error: database disk image is malformed   ... View more

※この記事は以下の記事の日本語訳です。 PAN-OS 7.1 Policy behavior change application-default https://live.paloaltonetworks.com/t5/Configuration-Articles/PAN-OS-7-1-Policy-behavior-change-application-default/ta-p/75664     PAN-OS 7.1において、セキュリティ ポリシー ルールがアプリケーション  'Any' かつサービス設定 'application-default'  に設定されている場合、そのルールのアクションは標準ポートを使用するアプリケーションにのみ適用されます。   例えば、もしセキュリティ ポリシー ルールがデフォルトのアプリケーション ポートを使用するアプリケーションのみ許可する設定になっていた場合、 web-browsingはポート80番のみで許可されることになります。   以前の PAN-OS リリース バージョンでは、アプリケーション設定が 'Any' になっていた場合、サービス設定 'application-default' は適用されませんでした。 ... View more

※この記事は以下の記事の日本語訳です。 PAN-OS 7.1 URL Filtering - Dynamic Block List - External Block List EDL https://live.paloaltonetworks.com/t5/Tutorials/PAN-OS-7-1-URL-Filtering-Dynamic-Block-List-External-Block-List/ta-p/74098     以前のバージョンの PAN-OSでは、ファイアウォール管理者は、ダイナミック ブロック リスト (EDL - 外部ダイナミック リスト) または、外部ブロック リスト (EBL) 機能を用い、IPアドレスを含む外部のファイルを参照することで、IPサブネットやIPアドレスの範囲をブロックすることが可能でした。 PAN-OS 7.1 より、リストで使用できるタイプにURLが追加され、より簡単にブロック制御ができるようになりました。     要件 各URLリストはカテゴリとして使われます。URLリストの名前がカテゴリ名となります。 これらのカテゴリはURLフィルタリング プロファイルとセキュリティ ルールで使用できます。 更新の間隔は、5分、毎時、毎日、毎週、月次のいずれかで設定できます。 5分を更新間隔に設定した場合、リストに変更があった場合のみコミットが実行されます。また、それは1時間に1回となります。 もしリストが外部のサイトで更新されたにも関わらずファイアウォール上で反映されていないのであれば、設定監査にてcandidate configのチェックをし、新しい項目がリストから引っ張られているかどうか確認してください。 URLリストはHTTPSサイトに置くことも可能です。その際、次のすべてがチェックされます。（CA、CN/SAN、有効期限、OCSP & CRL） ハードウェア スペック PA-200, PA-500, PA-2000, PA-3000, PA-4000, PA-VM プラットフォーム 30リスト (IP + DNS + URL) 合計50,000 IP。個々のリストに制限なし。 DNS + URLを合わせて50,000まで。リスト単位では制限なし。 PA-5000 & PA-7000 シリーズ 30リスト (IP + DNS + URL) 合計150,000 IP。個々のリストに制限なし。 DNS + URLを合わせて50,000まで。リスト単位では制限なし。 （訳注: 値が変更になっている可能性もあるので、念のため別の資料でも確認してください。 　　　https://www.paloaltonetworks.com/products/product-selection.html）   注: もし最大数の 50,000 以上のURLが使われた場合、ファイアウォールは先頭から 50,000までの項目 を使用し、残りの項目は使用しません。これが起きた際は、システム ログにログが生成されます。       設定 ステップ 1. 新しく外部リストを作成するには、Objects > 外部ダイナミック リスト > 追加、をクリックします。以下の例では、'Bad Mojo' という名前を付けました。外部ファイルの参照先には "http://www.example.com/url-list.txt" を指定しています。繰り返し間隔は、5分です。   ステップ 2. 新しくURL フィルタリング プロファイルを作成するには、Objects > セキュリティ プロファイル > URL フィルタリング > 追加、をクリックします。新しく作ったリストは、下の方にスクロールすると見つかります。 注: 新しいプロファイルでは、作成したEDLに対するアクションがデフォルトで 'allow' になるので注意してください。   ステップ 3. 既存のURLフィルタリング プロファイルを編集する場合は、Objects > セキュリティ プロファイル > URL フィルタリング、にてプロファイル名をクリックします。 注: 管理者が変更するまでアクションは 'none' になっています。これはカスタムURLカテゴリと同様です。   ステップ 4. セキュリティ ポリシー (Policies > セキュリティ)にて、編集したいルールの名前をクリックすると、サービス/URL カテゴリのところで、上記で作成した "Bad Mojo" が外部ダイナミック リストの下に見つかります。   Step 5. このリストを有効にするために、コミットをします。   リスト フォーマットの要件 リストはプレーンテキストである必要があります。 (HTML、PDFなどは使用できません) スキームはオプションです。もし見つかれば、読み飛ばされます。 http:// 部分は不要です。 ワイルドカード (*) はサポートされます。 *.example.com/hacked/* www.example.net/wp-*/debug/ 1行の最大長は 1024 文字です。 ダブルバイト文字は未サポートです。 ドメインを指定する場合は、以下のように両方のフォーマットを使用してください。(カスタム URL カテゴリと同様です): example.com *.example.com   CLI の変更点 (ダイナミック ブロック リストの作成) マルチ-vsys 環境: > set shared/<vsys vsys> external-list <tab> {displays a list of current added lists} <name>   > set shared/<vsys vsys1> external-list <name> + description description + url         url + type        type > recurring   recurring <Enter> Finish input   > set shared/<vsys vsys1> external-list <name> type <tab> + domain Domain List + ip IP List + url URL List   シングル-vsys 環境: > set external-list <tab> -list of current added lists <name>   > set external-list <name> + description description + url       url + type      type > recurring recurring <Enter> Finish input   > set external-list <name> type <tab> + domain Domain List + ip IP List + url URL List   Panorama: > set shared/<device-group dg name> external-list <tab> {displays a list of current added lists} <name>   > set shared/device-group dg name> external-list <name> + description description + url       url + type      type + recurring recurring <Enter> Finish input   > set shared/device-group dg name> external-list <name> type <tab> + domain Domain List + ip IP List + url URL List CLI の変更点 (refresh & show コマンド) > request system external-list show type + domain Domain list type + ip    IP list type + url   URL list type   > request system external-list show type url name <tab> + edl-url1  edl-url1 + edl-url2  edl-url2 + <name>    <name>   > request system external-list show type url name edl-url1 {displays list of URL entries}   > request system external-list refresh type + domain Domain list type + ip   IP list type + url  URL list type   > request system external-list refresh type url name <tab> + edl-url1 edl-url1 + edl-url2 edl-url2 + <name>   <name>   > request system external-list refresh type url name edl-url1   Panorama 7.1より前のバージョンのファイアウォールを管理する場合、'IP' タイプの外部ブロック リストのみが使用できます。 7.0以前の PAN-OSバージョンにコンフィグをプッシュする際、'url' タイプのオブジェクトは取り除かれます。 ポリシーがURLリスト タイプを参照している場合、コミットは失敗します。   参照 PAN-OS 7.1 Resource List（英文）     ... View more

本文書は、Cortex XDR – Analytics（旧名称：Magnifier）の初期セットアップ方法について記載しています。     目次 Cortex XDR – Analyticsインスタンスのアクティベーション Cortex XDR – Analyticsインスタンスへのアクセス Pathfinderのセットアップ 参考     Cortex XDR – Analyticsインスタンスのアクティベーション   以下に、Cortex XDR – Analyticsライセンス（Auth Code）をアクティベーションする手順を説明します。   事前準備 Cortex XDR – Analyticsをご利用になるにはライセンス（Auth Code）が必要となりますので、ライセンスをご購入された販売店経由でご確認ください。 また、セットアップ済みのCortex Data Lake（旧名称：Logging Service）のシリアル番号も必要です。Cortex Data Lake のセットアップ手順については、以下の記事をご参照ください。 https://live.paloaltonetworks.com/t5/カスタマーサポートプラン/Cortex-Data-Lake-旧名称-Logging-Service-を購入後-製品を使用するまでの流れ/ta-p/196794 Palo Alto Networks Cortex Hub（https://apps.paloaltonetworks.com/apps）にSSO（シングル サイン オン）でログインします。 以下のスクリーンショットは、CSP（カスタマー サポート ポータル）アカウント「Palo Alto Networks Japan Support」でログインした状態を示しています。 複数のCSPアカウントに属している場合は、中央にあるプルダウン メニューから該当のCSPアカウントを選択してください。   Activate New Appをクリックします。 Activationに必要な項目を埋めていきます。ページはStep1とStep2の2つに分かれています。 一部の項目について、以下に説明します。 - Auth Code：Cortex XDR – AnalyticsのAuth Codeを入力してください。 - Region："Americas" または "Europe" のいずれかを、Cortex Data Lake の Region に合わせて選択します。 - Cortex Data Lake：関連付けるCortex Data Lakeのインスタンスをプルダウン メニューから選択します。"Instance-シリアル番号" という表記になっているので、複数存在する場合はシリアル番号から該当するCortex Data Lakeインスタンスを判別してください。 "Agree and Activate" ボタンをクリックします。 Activation Complete（アクティベーション完了）の画面が出るので、Doneを押して終了です。     Cortex XDR – Analyticsインスタンスへのアクセス   以下に、Cortex XDR – Analyticsインスタンスにアクセスする手順を説明します。   Cortex HubにおいてRoleのアサインをするためには、該当するCSPアカウントにてユーザ登録がされている必要があります。ユーザが登録されていない場合は、先にCSPにてユーザ登録を行ってください。 Palo Alto Networks Cortex Hub（https://apps.paloaltonetworks.com/apps）にAccount Administrator Roleを持っているユーザでログインします。 右上にある歯車アイコンから、Manage Rolesを選択します。 Roleをアサインしたいユーザを選択し、Manage Rolesボタンをクリックします。 Cortex XDR – Analyticsを選択し、必要なRoleをアサインし、Saveボタンを押します。         Pathfinderのセットアップ    以下に、Pathfinderのセットアップ手順を説明します。   事前準備 セットアップには、Pathfinderからのインターネット アクセスが必要となります。以下のポートが許可されている必要があります。 - UDPポート53（DNS） - UDPポート123（NTP） - TCPポート443、444（SSL） CSPポータル（https://support.paloaltonetworks.com/）のSoftwareページから、PathfinderのOVAファイルをダウンロードします。 vSphereの「OVFテンプレートのデプロイ」機能を使い、PathfinderをEsxi上にインストールします。（OVAファイルはOVFをアーカイブしたものとなります） Pathfinderをパワーオンします。 以下のコンソール メニューが表示されます。     デバイス情報（Device information） Device informationを選択した際に表示される時間はUTC（協定世界時）になっており、タイムゾーンの変更、及び時間の変更をコンソール メニューから行うことはできないようになっています。 NTPが正しく動作しているかどうかは、「時分」を無視して「秒」のみで確認することをお勧めします。 Device UUIDは、後述するCortex XDR – Analyticsインスタンスとのペアリング（Pairing）で使用するので、メモしておきます。 管理インターフェイスのネットワーク設定（Management interface network configuration） 以下が選択できるようになっています。 - DHCP - Static - Disable 以下は、Staticメニューを選択し、静的にIPアドレスを設定する際の画面です。   まず矢印カーソルを使って、< Edit > にカーソルを合わせます。次に、矢印カーソルで変更したい項目へ移動しエンターキーを押すと値が変更できるようになります。（タブ キーを押下しても、次の項目へは移動しません） Cortex XDR – Analyticsインスタンスとのペアリング（Pairing） Pairを選択すると、Pairing画面が表示されます。設定できるのは、以下の４つです。 - Pathfinder VM ID（Device UUIDと同一です。ここには自動で値が入ります） - Pathfinder VM Name（任意に設定できます） - Pairing Token - Cortex XDR – Analytics Tenant ID Pairing TokenとCortex XDR – Analytics Tenant IDは、 Palo Alto Networks Cortex Hub から取得します。 https://apps.paloaltonetworks.com/apps にログインし、Cortex XDR – Analyticsインスタンスにアクセスすると、右上に歯車アイコンがあるので、それをクリックしAboutを選択するとCortex XDR – Analytics Tenant IDが確認できます。 次に、右上に歯車アイコンからConfigurationを選択します。 Pathfinder VMs のページへ移動し、Generate Pairing Tokenボタンをクリックすると、 Pairing Token（ ワンタイム パスワード）が生成されます。  これらの値をPathfinderの画面にて入力します。コピー・ペーストできないので、一文字ずつタイプする必要があります。「0」と「O」など、区別しにくい文字も含まれることがありますので、一度テキスト エディタにコピーして文字を確認してください。   Authorize処理 Pairingが成功すると、以下のメッセージが表示されます。  上記  Palo Alto Networks Cortex Hub の  Pathfinder VMs のページにて、Authorize ボタンを押したら完了となります。     参考 Cortex Hub – Getting Started Guide https://docs.paloaltonetworks.com/cortex/cortex-hub/cortex-hub-getting-started/（英文）   Cortex XDR™ – Analytics Administrator's Guide https://docs.paloaltonetworks.com/cortex/cortex-xdr/cortex-xdr-analytics-admin（英文） ... View more

※この記事は以下の記事の日本語訳です。 Pro-Tips: Unknown Applications https://live.paloaltonetworks.com/t5/Management-Articles/Pro-Tips-Unknown-Applications/ta-p/77052     'Unknown' アプリケーションの対処   トラフィック ログの中に稀に出てくる unknown-tcp や unknown-udp とは一体何なのでしょうか。これはApp-ID において、十分なデータが流れていないコネクションがあったり、十分なデータが流れていてもそれが既知のアプリケーションの動作にマッチしなかったりして、App-IDがアプリケーションの特定をすることができなかったことを意味します。このタイプのアプリケーションが組織内のトラフィックで見つかった場合、例えば、バックアップによるトラフィックやスクリプトで自動化されたメンテナンス処理など、Unknownアプリケーションであっても無害な場合が考えられます。しかし、これらのトラフィックがインターネットに出ていくものだったり、あるいはインターネットから入ってくるものだったりした場合は、注意が必要です。     大雑把に言えば、これらのトラフィックは実際どのようなセッションなのか不明で、悪意のあるトラフィックであり得るので、ベスト プラクティスとしてunknown-udp/unknown-tcp   アプリケーションは全てブロックした方が無難です。   ただ、やみくもに全てのunknownトラフィックをブロックしてしまうと、今度は逆に正規のトラフィック等を遮断してしまうことにも成りかねません。最善策は、カスタム アプリケーションを作成し、該当のトラフィックを特定した上で、セキュリティ ポリシーでどのフローを許可するか、あるいはブロックするかをより細かく制御することです。   簡単な方法は、まずシンプルなカスタム アプリケーションを作成し、アプリケーション オーバーライドを設定することです。これは、送信元と宛先が社内のアドレスで、かつ固定である場合に有効な方法です。例えば、とあるサーバーから別の管理下の環境へのスクリプトによるコネクションなどがこれに該当します。    まずシンプルなカスタム アプリケーションを作成します。詳細 (Advanced) とシグネチャ (Signatures) は設定しません。 ここでリスクの値に5を設定している理由は、この方法でApp-IDを適用するセッションにおいてインスペクションが無効になるためです。 アプリケーション オーバーライドを作成し、該当のトラフィック フローに完全にマッチするように設定をします。(アプリケーション オーバーライドは、管理者が把握しているフローにのみ使用してください) セッションがカスタム アプリケーションとして検知されるようになります。セキュリティ ポリシーをそのアプリケーション用に作成することで、セッションの制御が行えるようになります。   最もいいアプリケーションの特定方法は、パケット キャプチャを行ってアプリケーションがファイアウォールにとってどのように見えるかをよく理解し、それを元に期待されるコンテンツにマッチするようにシグネチャを作成することです。こうすることで、正規なセッションを完全に見分けることができるようになります。   パケット キャプチャをセットし、セッションの最初から最後までをキャプチャした後、pcapファイルを取得します。パケット キャプチャの詳細については、次の文書を参照してください。Getting Started: Packet Capture（英文） より適切なシグネチャが書けるよう、パケット キャプチャを解析します。 この例では、16進の HEX値 "2f69 6e66 6f3f 7478 7441 6972 506c 6179 2674 7874 5241 4f50"を使用します。これは、アスキー テキストで "/info?txtAirPlay&txtRAOP" に相当するものです。 新しいカスタム アプリケーションを作成し、これから特定しようとしているセッションにマッチするようにパラメータを設定していきます。以下の例は、カスタムAirPlayプロトコルをキャプチャしたデータを元に設定したものです。これは組織内のトラフィックであり安全であることが分かっているため、リスクの値は1に設定してあります。 このアプリケーションは、クライアントからサーバーへの通信の宛先としてTCPポートの7000番を使用します。 シグネチャには、以下の例にあるように、pcapから見つかった16進のHEX値が使用できます。(HEX値を使用する際には、先頭と末尾に '\x' を付与してください。そうすることで、シグネチャのエンジンがテキスト パターンではなくHEX値のパターンとして処理するようになります。) また、以下の例にあるように正規表現を使うこともできます。(テキスト文字列の中に特殊文字が含まれている場合は、特殊文字の前にバックスラッシュ '\' を付けてエスケープしてください。)   文字列のパターンが現れる位置を条件の制限に加えるために、修飾子(Qualifier)とその値にhttp-method GETを設定しています。なぜなら、これはhttpのbodyの部分には現れないからです。このシグネチャのコンテキスト (Context)はhttp-req-params (http request parameter)を設定しています。その理由は、カスタムAirPlayプロトコルは、サーバーとの通信においてhttpコマンドを使用するからです。このように、コンテキストのオプションはクライアントとサーバー間の通信で使用されるプロトコルにできるだけ即した形で設定する必要があります。 その他の例としては、Video Tutorial: Custom application（英語）や Getting Started: Custom applications and app override （英語）を参照してください。よく使われるコンテキストには、 'unknown-req-tcp-payload'、'unknown-rsp-tcp-payload'、'http-req-host-headers' などがあります。ここで、"-req-" はクライアントからのリクエスト、"-rsp-" はサーバーからのレスポンスを意味します。これによって、どちらの方向のトラフィックをチェックしてアプリケーションを特定するかの選択が可能になります。 カスタム アプリケーションを作成し、設定のコミットを行うと、unknown-tcp と表示されていたセッションは新しいカスタム アプリケーションとして新しくログに出てくるようになります。   つまり、この新しいカスタム アプリケーション用にセキュリティ ポリシーを作成することで別の制御が可能となり、ビジネスで使用しているアプリケーションを許可しつつ、unknownアプリケーションのトラフィックをブロックすることができるようになります。     この記事がお役に立つと幸いです。コメントもお待ちしています。 著者：Reaper   カスタム アプリケーションにまつわるその他のアイデアや事例についてもっと詳しく知りたい方は、次のサイトを訪れてみてください。the Palo Alto Networks Custom Signature discussion board（英語）   参照リンクのまとめ： Getting Started: Packet Capture Video Tutorial: Custom application Getting Started: Custom applications and app override     ... View more

※この記事は以下の記事の日本語訳です。 How to Set the Maximum File Size Limit for WildFire https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Set-the-Maximum-File-Size-Limit-for-WildFire/ta-p/60500       概要 本記事では、WildFireへファイル アップロードするためのファイルの上限値の設定の仕方について記載しています。   PAN-OS 6.1 において、WildFire は以下のファイル タイプとサイズをサポートしています。 ファイル タイプ サイズの範囲       デフォルトのサイズ制限 pe 1-10 MB 10 MB apk 1-50 MB 10 MB pdf 100-1000 KB 500 KB ms-office 200-10000 KB  500 KB jar 1-10 MB 1 MB PAN-OS 7.1 以降では、 WildFire は以下のファイル タイプとサイズをサポートしています  。 ファイル タイプ サイズの範囲       デフォルトのサイズ制限 pe 1-10 MB 10 MB apk 1-50 MB 10 MB pdf 100-1000 KB 500 KB ms-office 200-10000 KB  500 KB jar 1-10 MB 1 MB flash 1-10 MB 5 MB MacOSX 1-50 MB 1 MB アプリケーションおよび脅威のバージョン 741 より、'archive'（.7zip と .rar）ファイル タイプのサポートが追加されました。 (PAN-OS 7.1 以降においてのみのサポート) ファイル タイプ サイズの範囲 デフォルトのサイズ制限 archive 1-50 MB 10 MB   アプリケーションおよび脅威のバージョン  745 より、'linux'（.elf）ファイル タイプのサポートが追加されました。  (PAN-OS 8.0以降においてのみのサポート)   ファイル タイプ サイズの範囲 デフォルトのサイズ制限 linux 1-10 MB 2 MB   詳細 Device > セットアップ > WildFire > 一般設定 へ移動し、サポートされている各ファイル タイプのサイズ制限の値を必要に応じて変更します。   PAN-OS 6.1:   PAN-OS 7.1:   PAN-OS 8.0: アプリケーションおよび脅威のバージョン 745 より、'linux' ファイル タイプのサポートが追加されました。(PAN-OS 8.0以降においてのみのサポート) 注： アプリケーションおよび脅威のバージョンのリリースによって デフォルトのサイズ制限の値が変更になった場合、新しいサイズ制限をキューの値に反映させるためには、以下の手順が必要となります。（詳細は後述）   WildFireの設定において、サイズ制限の確認と値の変更をします。 (Device > セットアップ > WildFire) コンフィグのコミットを行います   警告：WildFireにファイルをアップロードする際には、ファイルはファイアウォール内部のキューに一旦バッファされます。バッファできるファイルの数の上限はプラットフォーム毎に異なり、APKを除いたファイル タイプの内の一番大きいサイズ制限の値によって決定されます。ファイル タイプのサイズ制限を上げる際には、この点をよく理解した上で行ってください。   APKを除いたファイル タイプの内の一番大きいサイズ制限の値を確認します。 プラットフォーム毎のキャパシティを以下のサイトで確認します。https://www.paloaltonetworks.com/documentation/80/wildfire/wf_admin/submit-files-for-wildfire-analysis/firewall-file-forwarding-capacity-by-model バッファできるファイル数は、次の計算式で決定されます。[キャパシティ] / [サイズ制限の最大値] CLIにて "show wildfire disk-usage" コマンドを実行し、File Limit に出てくる値と上記で算出した値を比較します。 例えば、PA-200 プラットフォームにおけるキャパシティは 100MBであるため、サイズ制限の最大値が 10MB であった場合、File limit の値は 100 / 10 = 10 になります。   admin@PA-200> show wildfire disk-usage   Disk usage for wildfire: Total disk usage:                               0 Total temporary files:                           0 File limit:             10   (Global),   10   (Channel)   値が一致しない場合は、上記の"注"の箇所にある手順 (1と2) を行うことで値が反映されます。     注：PAN-OS 9.0 にて仕様変更が行われたため、本記事の内容はPAN-OS 9.0以降には該当しません。   ... View more

英語（元記事） 日本語 How to Configure a Policy with DoS Protection to Protect Hosted Services DoS プロテクションを利用してホスト サービスを防御するポリシーを設定する方法 RADIUS Vendor-Specific Attributes (VSA) RADIUSベンダー識別子(VSA: Vendor-Specific Attributes) How to Configure GlobalProtect SSO with Pre-Logon Access using Self-Signed Certificates 自己署名証明書を使用した"Pre-Logon"方法でGlobalProtect SSOを設定する方法 How to Export Logs ログをエクスポートする方法 How to Import/Export Running Configuration Using Secure File Copy (SCP) セキュア コピー (SCP) を使用して"Running Configuration"をインポート／エクスポートする方法 Troubleshooting Captive Portal Redirect Page Issues キャプティブ ポータル リダイレクト ページ問題のトラブルシューティング How to Check if an Application Needs Explicitly Allowed Dependency Apps アプリケーションの依存関係アプリを明示的に許可する必要性の確認方法 How to Check Interface Hardware Counters Including Errors エラーを含むインターフェース ハードウェア カウンタの確認方法 Source NAT Translation Types and Typical Use Cases 送信元NATのタイプと良くある使用例 How To Packet Capture (tcpdump) On Management Interface マネジメント インターフェイスでのパケット キャプチャの取得方法 Limitations and Recommendations While Implementing SSL Decryption SSL 復号化を実装する際の制限事項と推奨事項 How to Generate a href="New Self-Signed SSL Certificate 新しい自己署名証明書の生成方法 SSL decrypt exclude cache and unsupported ECDHE cipher suites SSL復号化除外キャッシュとサポートされない ECDHE 暗号スイート List of Apps with metadata href="change for Content version 575 コンテンツバージョン 575 でメタデータが変更されたアプリケーションの一覧 Steps to Reduce MP CPU on PA-2000 Series and PA-4000 Series PA-2000 シリーズと PA-4000 シリーズのMP CPU負荷の削減手順 How Session Rematch Works セッションの再マッチング(Session Rematch)の動作 How to Generate and Upload a href="Tech Support File Using the WebGUI and CLI WebGUIやCLI上でのTech Support File生成方法について SNMP for Monitoring Palo Alto Networks Devices Palo Alto Networks Devices をSNMP監視するための OID How to Configure Dynamic Block List (DBL) or External Block List (EBL) Dynamic Block List (DBL) や External Block List (EBL)の構成方法について Any/Any/Deny Security Rule Changes Default Behavior Any/Any/Deny セキュリティルールのデフォルト動作の変更について CVE-2004-0230—Guessing TCP Sequence Numbers and Injecting RST Packets CVE-2004-0230—TCP 実装におけるシーケンス番号の推測とRSTパケット挿入による脆弱性 Cisco Link Aggregation Traffic Through a href="Palo Alto Networks Device Palo Alto Networks デバイスのCisco リンク アグリゲーション トラフィックの取り扱い How to Create a href="Support Portal Account with a href="VM-Series Usage Based Model (Amazon, Azure, CSSP) VM-Series（Amazon, Azure, CSSP）を使用したサポート ポータル アカウントの作成方法 How to Open a href="Support Case for a href="VM-Series Usage Based Model (Amazon, Azure, CSSP) VM-Series（Amazon, Azure, CSSP）を使用している方向けのサポート ケースの開き方 How to Block Shellshock - CVE-2014-6271 and Related CVEs Shellshock - CVE-2014-6271 と関連 CVE のブロック方法 How to Create an Application Filter to Block High-Risk Applications High-Risk アプリケーションをブロックする Application Filterの作成方法 How to Revert to a href="Previous Configuration 以前使用していた設定ファイルに戻す手順 Difference Between SSL Forward-Proxy and Inbound Inspection Decryption Mode SSL フォワード プロキシとSSL インバウンド インスペクションモードの違いについて How to Configure a href="Custom Syslog Sender and Test User Mappings カスタムSyslogセンダーの設定と、ユーザー マッピングの試験方法 How to Provide Quality of Service to a href="Single IP adress Quality of Service (QoS)を1つのIPアドレスに適用する方法 Palo Alto Networks TCP Settings and Counters Palo Alto Networks ファイアウォールTCP設定とカウンター値 Admin-Admin Does Not Work After Factory Reset デフォルトの管理者アカウント(admin/admin)がファクトリーリセット後動作しない How to Reset the Administrator Password 管理者パスワードをリセットする方法 How to Identify Root Cause for SSL Decryption Failure Issues SSL復号化失敗の原因について確認する方法 How to Verify if IPSec Tunnel Monitoring is Working IPSecトンネル モニタの動作確認方法 CVE-2011-3389: The BEAST Attack to TLS 1.0 CVE-2011-3389: TLS 1.0へのBEAST攻撃 SSL 3.0 MITM Attack (CVE-2014-3566) (PAN-SA-2014-0005) aka href="Poodle SSL 3.0 MITM 攻撃 (CVE-2014-3566) (PAN-SA-2014-0005) 通称 Poodle How to Upgrade PAN-OS and Panorama PAN-OS や Panoramaのアップグレード手順 Addressed: Palo Alto Networks Product Security Regarding the June 5th OpenSSL Security Advisory (対応済み): 6月5日 OpenSSL セキュリティ アドバイザリに対するPalo Alto Networks製品のセキュリティ GHOST - Linux Remote Code Execution CVE-2015-0235 0-day Vulnerability GHOST - glibcにリモート コードを実行されるゼロデイ脆弱性 CVE-2015-0235 How to Transfer Licenses to a href="Spare Device ライセンスをスペアに転送する方法 How to Create a href="New Customer Support Portal User 新しいカスタマー サポート ポータルのユーザーの作成方法 How to Create a href="WildFire User WildFireユーザーの作成方法 How to Accept/Reject the Transfer of a href="Device デバイスの転送を許可／拒否する方法 How to Activate a href="Support Account from an Eval Account 評価アカウントからサポート アカウントを有効化する方法 How to Block A HREF="Threat For a href="Specific Time Interval 脅威を一定時間ブロックする方法 How to View Currently Installed SFP Modules 現在インストールしているSFPモジュールの確認方法 Site-to-Site IPSec VPN Between Palo Alto Networks Firewall and Cisco Router using VTI Not Passing Traffic パロアルトネットワークス ファイアウォールとCiscoルーターとのVTIを使用したサイト間VPN接続で通信が通らない How to Set the Palo Alto Networks Firewall to Allow non-Syn First Packet Palo Alto Networks ファイアウォールが 非 SYN の最初のパケットを許可するよう設定する方法 Packets are Dropped Due to TCP Reassembly TCP Reassembly によるパケットのドロップ Using LDAP to Authenticate to the Web UI LDAP を使用した Web UI の認証 Change the Brute Force Trigger Criteria Brute Force の検知条件の変更 Where to Get a href="Suspicious DNS Query for Testing DNS Sinkhole DNSシンクホールのテスト用にSuspicious DNS Queryを起こす方法 SSL Vulnerability Non-Detection Behavior is Seen when Inbound SSL Decryption Policy is Set インバウンドSSL復号化ポリシーが設定されている際にSSLの脆弱性が検知されない Threat landscape: Why DNS Signatures and URL categorizations for malware change 脅威の状勢：なぜDNSシグネチャとURLのマルウェア カテゴリが変わるのか、その理由 How to View, Create and Delete Security Policies on the CLI CLI でセキュリティ ポリシーを確認、追加、及び削除する方法 How to Block Traffic Based Upon Countries 国に基づいてトラフィックをブロックする方法 How to Save an Entire Configuration for Import into Another Palo Alto Networks Device 設定を他のPalo Alto Networksデバイスへ移行する手順 How to Transfer Device or Spare Ownership デバイスまたはスペアの所有権の転送方法 How to Use the Account Registration Link アカウント登録用のリンクの使用方法 How to Register and Activate AutoFocus AutoFocusの登録と利用方法 Packet Capture, Debug Flow-basic and Counter Commands Packet Capture 、Debug Flow-basic および Counter コマンド How to Configure Group Mapping Settings グループ マッピングの設定方法 Troubleshooting User-ID: Group and User-to-IP Mapping User-ID のトラブルシューティング：グループとユーザ-IP とのマッピング How to Forward Threat Logs to Syslog Server Threat ログを Syslog サーバーに転送する方法 How to Allow Ping and ICMP on Layer 3 Interface of Your Palo Alto Networks Device Palo Alto Networks デバイスのレイヤ 3 インターフェースで Ping 及び ICMP を許可する方法 CLI Commands to Export/Import Configuration and Log Files コンフィグ情報とログファイルをエクスポート及びインポートする CLI コマンド How to Force User Group Mapping Refresh ユーザー グループ マッピング更新(refresh)の強制実行 How to Implement Certificates Issued from Microsoft Certificate Services Microsoft Certificate Servicesにて発行した証明書の展開方法 Viewing the Log Collector system log in the Panorama href="appliance Panoramaアプライアンスでログ コレクタのシステム ログが出力されない問題（PAN-OS 6.0.X以降） How to Configure a href="Palo Alto Networks Device for Tap Mode Operation ファイアウォールのタップ モードの設定 Blocking Suspicious DNS Queries with DNS Proxy Enabled DNSプロキシ有効化時の、疑わしい（Suspicious） DNSクエリのブロック How to Configure GlobalProtect for Authentication Using Only Certificates 証明書のみを使用したGlobalProtectの認証設定方法 Common Issues with GlobalProtect GlobalProtectのよくある問題とトラブルシューティング Troubleshooting RADIUS Authentication RADIUS認証のトラブルシューティング How to Perform a Graceful Shutdown グレースフル（Graceful） シャットダウンの実行方法 How to Troubleshoot Using Counters via the CLI コマンド ラインでのカウンターを用いたトラブルシューティング方法 How to SSH into Maintenance Mode メンテナンス モードでのSSH接続方法 How to Set Session, TCP, and UDP Timeout Values TCP、UDPのセッション タイムアウト設定値 変更方法 Threat content 555 new features: exploit kit and phishing vulnerability profile categories Content 555 で追加された新機能：エクスプロイト キットとフィッシング脆弱性カテゴリ How to Submit an Anti-Virus False Positive アンチウイルス シグネチャ誤検知 (false positive) の対応方法 How to create a vulnerability exception 脆弱性防御の例外設定方法 How does WildFire handle links within emails? WildFireによる電子メールに含まれるリンクの処理方法 How to Check or Edit the Default Action of a Threat Signature 脅威シグネチャのデフォルト アクションの確認方法および変更方法 How to Configure VPN Tunnel Between a Palo Alto Networks Firewall and Azure Palo Alto Networks ファイアウォールと Azure のサイト間 VPN トンネルの設定方法 How to Generate a CSR (Certificate Signing Request) & Import the Signed Certificate CSR(Certificate Signing Request) の作成と署名済み証明書のインポート手順 What Conditions Trigger Microsoft Windows SMB Fragmentation RPC Request Attempt Alert? Microsoft Windows SMB (Server Message Block) フラグメント RPC (Remote Procedure Call) を発生させる条件について Threat ID 30419 (RFC2397 data URL scheme usage detected) 脅威 ID 30419 (RFC2397 data URL scheme usage detected) How to Allow a Single YouTube Video and Block All Other Videos 1 つの YouTube 動画へのアクセスのみ許可し、それ以外の動画は全てブロックする方法 SYN-ACK Issues with Asymmetric Routing 非対称ルートでの SYN-ACK 問題 Graphic Traffic Monitoring for Interfaces - QoS Statistics インターフェイスのトラフィック モニタリング グラフについて - QoS 統計情報 How to Submit a Vulnerability Signature False Positive 脆弱性シグネチャ誤検知 (false positive) の対応方法 The description change in Threat Prevention license Threat Preventionライセンス内のdescriptionの変更について How to Uninstall GlobalProtect Client Mac OS X Mac OS X 上の GlobalProtect クライアントをアンインストールする方法 How to Configure the Management Interface IP 管理インターフェイスの IP アドレスの設定方法 How to Configure and Test FQDN Objects FQDN オブジェクトの設定およびテスト方法 Session Tracker Feature セッション追跡機能 How to Configure ISP Redundancy and Load Balancing ISP 冗長化およびロード バランシングの設定方法 Security policy fundamentals セキュリティ ポリシーの基礎 Steps to Change the Default Action for Signatures シグネチャのDefaultアクション変更手順 How to Determine the Number of Threat Signatures on a Palo Alto Networks Firewall Palo Alto Networksファイアウォールにおける脅威シグネチャ数の確認方法 How to Find Matching Signature for Vulnerabilities マッチする脆弱性防御シグネチャの見つけ方 How to upgrade a High Availability (HA) pair High Availability (HA) pairのアップグレード方法 How to Install the Palo Alto Networks User-ID Agent Palo Alto Networks User-ID Agentのインストール方法 How to Create an Application Override Policy Application Override Policyの作成方法 How to Configure SNMPv2 on the Palo Alto Networks Firewall Palo Alto Networks Firewall：SNMPv2の設定方法 CLI Commands to Status, Clear, Restore, and Monitor an IPSEC VPN Tunnel IPSEC VPN Tunnel管理用のCLIコマンド Migration Tool 3 Info and Guide 移行ツール (Migration Tool) 3 の情報とガイド How to Implement and Test SSL Decryption SSL Decryption設定と試験方法 GlobalProtect Gateway Certificate Error When Trying to connect GlobalProtect GlobalProtect Agent 2.1.0 を使用する際に発生する GlobalProtect ゲートウェイ証明書のエラーについて How to Run a Packet Capture パケット キャプチャの取得方法 How to Configure U-Turn NAT Uターン NAT の設定方法 How and When to Clear Disk Space on the Palo Alto Networks Device Palo Alto Networks デバイスのディスク領域をクリアする方法 Not-Applicable, Incomplete, Insufficient Data in the Application Field Applicationフィールドの Not-Applicable、Incomplete、Insufficient Data How to Configure Captive Portal キャプティブ ポータルの設定方法 How to Troubleshoot IPSec VPN connectivity issues VPNの接続の問題のトラブルシューティング方法 How to Authorize and Install VM-Series Auth-Codes VM をオーソライズまたは登録する方法 How to enable email link forwarding with WildFire WildFireへのemail link転送設定方法 How to Configure DNS Proxy on a Palo Alto Networks Firewall Palo Alto NetworksファイアウォールでのDNS Proxy設定方法 How to Configure Active Directory Server Profile for Group Mapping and Authentication Active Directoryサーバー プロファイルを使ったグループ マッピングと認証設定方法 How to Troubleshoot LDAP Authentication LDAP認証のトラブルシューティング手法 How to Configure High Availability on PAN-OS PAN-OSにおける高可用性の設定方法 Setting Up the PA-200 for Home and Small Office ホームオフィス、小規模オフィス向けPA-200セットアップ GlobalProtect Portal and Gateway License Requirements GlobalProtectポータルおよびゲートウェイのライセンス要件 How to Configure GlobalProtect GlobalProtect の設定方法 How to Configure WildFire WildFire の設定方法 How to perform a factory reset on a Palo Alto Networks device Palo Alto Networks デバイスのファクトリー リセット手順 User-ID Agent Setup Tips User-IDエージェント設定のヒント(Tips) List of Applications Excluded from SSL Decryption 復号化の例外設定アプリケーションリスト App-ID changes to Google apps GoogleアプリケーションのApp-ID変更点について How to Save an Entire Configuration for Import into Another Palo Alto Networks Device セキュリティポリシーと設定情報の移行手順 How to Configure DNS Sinkhole DNSシンクホールの設定方法 How to Install a Chained Certificate Signed by a Public CA 公的CAによって署名されたチェーン証明書のインストール方法 How to Upgrade PAN-OS on a Palo Alto Networks Device Palo Alto Networks DeviceのPAN-OSをアップグレードする方法 How to Configure a Palo Alto Networks Firewall with Dual ISPs and Automatic VPN Failover Palo Alto Networks ファイアーウォールでのデュアルISP接続時の自動でのVPNフェイルオーバー設定方法 How to Block a Specific HTTPS Site with URL Filtering URLフィルタリングによる特定HTTPSサイトのブロック方法 How to Configure Agentless User-ID エージェントレス User-ID の設定方法 How to Configure IPSec VPN IPSec VPNの設定方法 SSL Decryption Not Working due to Unsupported Cipher Suites 未サポートのCipher Suitesにより、SSL復号化が正常に機能しない How to Test WildFire with a Fake Malicious File 偽マルウェア ファイルを使ったWildFireのテスト方法 IPSec VPN Error: IKE Phase-2 Negotiation is Failed as Initiator, Quick Mode IPSec VPN エラー: IKE Phase-2 Negotiation is Failed as Initiator, Quick Mode GlobalProtect Client is not Connecting GlobalProtect クライアントで接続ができない Download the Migration Tool 移行ツール(Migration Tool)ダウンロード 日本語翻訳記事リスト1 https://live.paloaltonetworks.com/t5/ナレッジドキュメント/日本語翻訳記事リスト1/ta-p/192950 ... View more

英語（元記事） 日本語 Getting Started: User-ID User-ID スタートガイド What is the Default Login Credential? 初期設定のログインユーザーIDとパスワードは？ DNP3 New App-ID Release 新しいDNP3アプリケーションIDリリースについて How to Troubleshoot High Dataplane CPU データプレーンCPU負荷が高い時のトラブルシューティング How to Release DHCP-Assigned Addresses from a DHCP Server DHCPサーバーからアサインされたアドレスをリリースする方法   "次世代ファイアウォール トラブルシューティングセミナー （情報収集編） "（コースコード：JPN-001） リンク集 VOIP Traffic Disconnects Every 30 Seconds 30秒でVoIPトラフィックが切断される How to See Traffic from Default Security Policies in Traffic Logs デフォルトのセキュリティ ポリシー該当のトラフィックを、トラフィックログ上で確認する方法   Firewallで利用可能なAppならびにその詳細を取得しCSVに保存するPython Script   Command-and-Control カテゴリの確認方法   PA Series Firewall 運用ガイド FAQ - Office 365 Access Control FAQ - Office 365アプリケーションのアクセスコントロール How to Block QUIC Protocol QUICプロトコルのブロック方法 Connect Linux Machine to GlobalProtect Linux端末からGlobalProtect接続 App-IDs for SSL-Secured Versions of Well-Known Services SSLによるセキュアなWell-Knownポート サービスのApp-ID識別 How to Change the Default Management Port マネジメントポートをデフォルト以外のポートに変更する方法 How to Downgrade PAN-OS PAN-OSのダウングレード方法 Show System Resource Command Displays CPU Utilization of 9999% "show system resources" コマンドがCPU使用率として9999%を表示する How to Improve Performance for Protocols like SMB and FTP Without Application Override アプリケーション オーバーライドなしでSMBやFTPなどのプロトコルのパフォーマンスを向上する方法 GlobalProtect Error During Installation: "An instance of GlobalProtect is already present on the system." GlobalProtectインストール時の"An instance of GlobalProtect is already present on the system."のエラー How Can IP Overlaps be Prevented with GlobalProtect GlobalProtectでのIPアドレス重複の防止 How to Receive Email Threat Notification from the Firewall 電子メールでの脅威検知の通知をファイアウォールから受信する方法 How to Configure Global Protect Gateway on Loopback Interface with iPhone Access iPhoneアクセス用Global Protectゲートウェイの設定方法 How to Block the Psiphon Application Psiphonアプリケーションをブロックする方法 How to Stop GlobalProtect from Loading Automatically at Startup GlobalProtectのスタートアップ自動起動を停止する方法 Useful CLI Commands to Troubleshoot LDAP Connection LDAP 接続のトラブルシュートに有益な CLI コマンド Command-and-Control (C2) FAQ Command-and-Control (C2) FAQ How to Free Up Disk Space in PAN-OS PAN-OSでのディスク領域の開放   Content Version 734 より追加されたPAN-DB URL カテゴリ “Command-and-Control”のデフォルトアクションについて What does "TCP Session Timeout after FIN/RST" mean? "TCP Session Timeout after FIN/RST"とは何を意味しますか？ The Difference Between Receive Errors for Hardware and Logical Interface Counters “Receive Errors for Hardware”と”Logical Interface Counters”の違いについて Password Expiry Warning on the GlobalProtect Client Global Protectクライアント上でのパスワード失効の警告 Resolving Routing Issues when Using NAT over VPN NAT over VPNを使用した時の、ルーティング問題の解決方法 Updater Error Codes ダイナミック更新のエラー コードについて GlobalProtect Client Stuck at Connecting when Workstation is on the Local Network GlobalProtectクライアントが端末がローカルネットワークに所属している時に、接続中が継続する WildFire Counters Descriptions WildFireカウンタの詳細 URL Category Bulk Check and Getting the List of Threat Names URLカテゴリの一括 チェック、および、脅威名の一覧を取得する方法 WildFire API Frequently Asked Questions (FAQ) WildFire API に関するよくある質問（FAQ） How to Check for Logical Errors on an Interface インターフェイス上の論理エラーの確認方法 How to Import and Export Address and Address Objects アドレスとアドレス オブジェクトのインポート/エクスポート方法 User Identification through TSA HREF="not working for HTTP TSA経由のユーザ識別がHTTPに対して機能しない How to Troubleshoot Terminal Server Agent Problems ターミナルサーバーエージェントの問題のトラブルシューティング方法 Severity of Threat Summary report shows "Unknown" in PAN-OS 7.0 or later PAN-OS 7.0 以降で、Threat サマリー レポートの重大度が"Unknown"と表示される GlobalProtect app on Android 6.0+ cannot establish VPN connection using IP address Android 6.0以降の GlobalProtect アプリ においてIPアドレスを使用したVPN接続が確立されない Error: Failed to connect to User-ID-Agent at x.x.x.x(x.x.x.x):5009 "Error: Failed to connect to User-ID-Agent at x.x.x.x(x.x.x.x):5009"　のエラー Palo Alto Networks Firewall Session Overview Palo Alto Networks Firewallのセッションについて How to Configure Dynamic Routing over IPSec against Cisco routers CiscoルーターとのIPSec越しのダイナミック ルーティング設定方法   PAN-OS 6.0 CEF Configuration Guideのご紹介 How to Create Subordinate CA HREF="Certificates with Microsoft Certificate Server Microsoft Certificate Serverを使用した下位CA証明書の作成方法 Terminal Server Agent Registry Tuning for Better Port Allocation and Handling, Time Wait State ポート割り当てを改善するための ターミナルサーバーエージェント レジストリチューニング　(Time Wait State) Zone Protection Recommendations ゾーン プロテクションの推奨について How to Configure LDAP Server Profile LDAP サーバー プロファイルの設定方法   旧WildFire Japanクラウドドメインから現WildFire Japanクラウドドメインへのリダイレクト期間の延長について   wf10.wildfire.paloaltonetworks.jpの停止について   JP GeoIP 問題トラッカー Resolving the URL Category in Decryption When Multiple URLs Use the Same IP 複数の URL が同じ IP アドレスを使用する場合の復号化における URL カテゴリの解決方法 Firewall unable to respond 'reset' to malicious content and HTTP response Firewallが悪意のあるコンテンツを含むHTTPレスポンスに対しresetで応答しない URL Filtering Order URL フィルタリングの順序 ARP Entries Stay Cached for 30 Minutes ARP エントリが30分間キャッシュされる Palo Alto Networks Firewall not Forwarding Logs to Panorama href="(VM and M-100) Palo Alto Networks ファイアウォールが Panorama href="(VM および M-100) へログを転送しない Incorrect QoS Configuration Caused Network Traffic Outage 誤ったQoS設定によるネットワーク通信障害 Using IP Address Lists on Palo Alto Networks Policies Palo Alto Networks ファイアウォールのポリシー中でのIPアドレス リスト使用方法 Split Tunneling for VPNC Client on Linux Distributions LinuxディストリビューションにおけるVPNCクライアントのスプリット トンネリング   共有ゲートウェイと相互通信する仮想システムの設定方法 How to Add and Verify Address Objects to Address Group and Security Policy through the CLI CLIでのアドレス オブジェクトのアドレス グループとセキュリティ ポリシーへの追加および確認方法 How to Verify DNS Sinkhole Function is Working DNSシンクホール機能の動作を確認する方法 How to Block Web Browsing while Allowing Microsoft Updates Microsoftのアップデートを許可しながらWebブラウジングをブロックする方法 Can I Put a href="Wildcard in the Traffic Log Filter to View All Hits on a href="Subnet? トラフィック ログ フィルタにおけるワイルド カードの使用について What are Universal, Intrazone and Interzone Rules? ルール タイプ Universal、Intrazone、Interzone について How to verify the direction of spyware signatures for downloaders スパイウェア シグネチャー（ダウンローダー）の方向を確認する方法 How to Determine How Much Disk Space is Allocated to Logs ログに割り当てられたディスク容量の判断方法 CLI Commands to View Hardware Status ハードウェアの状態を確認するCLIコマンド How to Send a href="Test Email to Verify Email Profile Settings 電子メール プロファイル設定を確認するためのテスト電子メールの送り方   WildFire Japan アップデート Slow or Failed Commits コミットの反映が遅い、あるいは失敗する問題 After Allowing ICMP, Ping is Still Denied ICMPを許可した後でもPingが拒否される症状 GlobalProtect Client Unable to Connect on Newly Installed Machine 新規インストールしたGlobalProtectクライアントが接続できない問題について How to Configure a href="High Availability Replacement Device 交換後の高可用性デバイスの設定方法 How to Restart the Management server "mgmtsrvr" Process - WebGUI Management Serverのプロセス"mgmtsrvr"を再起動する方法 Unable to Connect to or Ping a href="Firewall Interface ファイアウォールのインターフェイスに接続やPingができない問題について How to Configure Symmetric Return シンメトリック リターンの設定方法 SSL decryption resource list SSLの復号化に関する資料の一覧表 Information Synchronized in an HA HREF="Pair HAペアにおいて同期される情報について Dual ISP Branch Office Configuration 拠点間接続のためのデュアル ISPの設定方法 Using Packet Filtering through the WebGUI WebGUIを利用したパケット フィルタリングの使用方法 Basics of Traffic Monitor Filtering トラフィック モニター フィルタリングの基礎 How to Configure Group-Mapping in a href="Multi-Domain Active Directory Domain Services (AD DS) Forest マルチ ドメイン Active Directoryドメイン サービス (AD DS) フォレスト環境下におけるグループ マッピングの設定方法   PAN-DB category list (Japanese) How to Display Interface MAC Addresses インターフェイス MAC アドレスの表示方法 How to Collect the User-IP Mappings from a href="Syslog Sender Using an User-ID Agent User-IDエージェントを使用したSyslog SenderからユーザーIPマッピングを収集する方法 Agentless User-ID Connection to Active Directory Servers Intermittently Connect and Disconnect エージェントレス User-IDでActive Directoryサーバーへの接続と切断を繰り返す問題 IPSec Error: IKE Phase-1 Negotiation is Failed as Initiator, Main Mode. Due to Negotiation Timeout IPSec エラー: IKE Phase-1 Negotiation is Failed as Initiator, Main Mode. Due to Negotiation Timeout GUI Error 'opaque: Failed to check content upgrade info due to generic communication error' GUI エラー：'opaque: Failed to check content upgrade info due to generic communication error' Software Download Error: 'Failed to download due to server error. Failed to download file' ダウンロード エラー:'Failed to download due to server error. Please try again later. Failed to download file' What does the Bi-directional NAT Feature Provide? 双方向 NAT オプションの設定について BrightCloud to PAN-DB Category Mapping BrightCloudとPAN-DBのカテゴリの対応表 How to Serve a href="URL Response Page Over an HTTPS Session Without SSL Decryption SSL 複合化を実施せずに HTTPS セッション上で URL 応答ページを表示する方法 Troubleshooting Slowness with Traffic, Management トラフィック、デバイス管理、断続的なSSL復号化の遅延に関してのトラブルシューティング How to Configure Email Alerts for System Logs システム ログを Email で送信するための設定方法 Which Link Aggregation Protocols are Supported? リンクアグリゲーションの使用 How to Configure a href="Layer 2 to Layer 3 Connection on the Palo Alto Networks Device パロアルトネットワークス ファイアウォールでレイヤー2からレイヤー3接続の設定方法 LDAP Configuration Error: failed to connect to server, Invalid credentials LDAP 設定エラー: failed to connect to server, Invalid credentials How to Interpret: show running resource-monitor "show running resource-monitor"コマンドの解釈方法 Vulnerability Profile Actions 脆弱性防御プロファイルのアクションについて Working with External Block List (EBL) Formats and Limitations 外部ブロック リスト (EBL) のフォーマットと制限の操作 How to Disable SIP ALG SIP ALG無効化の方法 How to Configure a href="DHCP Relay on Palo Alto Networks Firewall Palo Alto NetworksファイアウォールにおけるDHCPリレーの設定方法 How to Install and Configure Terminal Server Agent ターミナル サーバー エージェントのインストールと設定方法 How to Deal with Conficker using DNS Sinkhole DNSシンクホールを使用したConfickerの対処方法 How to Add Exempt IP Addresses from the Threat Monitor Logs 脅威モニター ログから除外するIPアドレスを追加する方法 Configuring IKEv2 IPsec VPN for Microsoft Azure Environment Microsoft Azure環境でのIKEv2 VPN設定 How to Configure GlobalProtect Portal Page to be Accessed on any Port どのポートでも接続できるGlobalProtectのポータル ページを設定する方法 Configuring Administrator Authentication with Windows 2008 RADIUS Server (NPS/IAS) Windows 2008 RADIUS サーバー (NPS/IAS) を使用した管理者認証の設定方法 How To Test Security, NAT, and PBF Rules via href="the CLI CLI上でのセキュリティ、NAT、ポリシー ベース フォワーディングルールのテスト方法 How to Configure an RMA HREF="Replacement Firewall RMAで交換したファイアウォールの設定方法 How to Identify Unused Policies on a href="Palo Alto Networks Device Palo Alto Networks Device上で使用されてないポリシーの特定方法 Brute Force Signature and Related Trigger Conditions ブルート フォース シグネチャと関連するトリガー条件 How to Check Throughput of Interfaces インターフェイスのスループットを確認する方法 How to Designate Source Interface for the Ping Host Command Ping Host コマンドの送信元インターフェイスを指定する方法 How to Check Users in LDAP Groups LDAP グループのユーザを確認する方法 Setting a href="Service Route for Services to Use a href="Dataplane Interface from the Web UI and CLI Web UI および CLI からデータプレーンインターフェイスを使うためのサービス ルートの設定について Best Practices for Securing User-ID Deployments 安全な User-ID 展開のためのベスト プラクティス Wildfire Configuration, Testing, and Monitoring Wildfire の設定、テスト、モニタリングについて 日本語翻訳記事リスト2 https://live.paloaltonetworks.com/t5/ナレッジドキュメント/日本語翻訳記事リスト2/ta-p/192958 ... View more

※この記事は以下の記事の日本語訳です。  WildFire API Frequently Asked Questions (FAQ) https://live.paloaltonetworks.com/t5/Threat-Articles/WildFire-API-Frequently-Asked-Questions-FAQ/ta-p/78950     本記事では、WildFire API のよくある質問をまとめています。     1. デイリーのアップロード/クエリー上限に達するとどうなりますか？ デイリーのアップロード/クエリー上限に達すると、それ以降、その日のアップロード/クエリー（上限に達した方）は行えなくなります。WildFireクラウドからは、"Quota Exceeded" のエラーが返ります。     2. デイリーのアップロード/クエリー数が残っていた場合、それは次の日に持ち越されますか？ いいえ。値は日本時間の9:00 AMにリセットされます。     3. デイリーのアップロード/クエリー上限に達する前に通知メールを受け取ることはできますか？ いいえ。デイリーのアップロード/クエリーの上限数の管理は、APIを使用するクライアント側で、APIの使用数を一日単位で追跡することで管理してください。     4. Carbon Black (Bit9) からWildFire API Keyを利用してファイルアップロードを行う場合、デイリーのアップロード数は消費されますか？ はい。     5. Proof Point からWildFire API Keyを利用してファイルアップロードを行う場合、デイリーのアップロード数は消費されますか？ いいえ。Proof Point の実装はカスタムであるため、デイリーのアップロード リミットは消費されません。     6. ファイアウォールとWildFireクラウド間の通信 (アップロード/クエリー) でAPI Keyの使用数は消費されますか？ いいえ。ファイアウォールとWildFire間の通信はAPI Keyの制限は受けません。     7. 手動アップロードをした際はどうなりますか？ WildFireポータルにてファイルを手動アップロードをした際にも、API Keyの使用数は消費されます。     8. WildFireポータルで表示される "manual upload limit:5" は何を意味しますか？ WildFire Only ユーザは、WildFireポータルで行えるデイリー アップロードの数が5で制限されています。     9. WildFire API Key を使ったデイリーのアップロード/クエリー上限数はいくつですか? - デイリー アップロードの上限数: 1000 - デイリー クエリーの上限数: 10000   Traps用API Keyの場合: - デイリー アップロードの上限数: 1000000 - デイリー クエリーの上限数: 1000000     10. デイリーのAPI Keyの使用数はどのように消費されますか？ デイリーのAPI Keyの使用数はAPIを使ったリクエストによって消費されます。リクエスト毎に数が消費されるため、全く同じリクエストをAPIを使って複数回行った場合にもその回数分消費されます。また、リクエストに対して有効なレスポンスが無かった場合も同様です。例えば、WildFireクラウドにレポートが存在しないハッシュ値でクエリー リクエストを出したとします。この際、レポートの取得はできませんがAPI Keyの使用数は消費されます。同様に、未サポートのファイルタイプの検体をクラウドにアップロードしようとした場合、アップロード自体は失敗しますがAPI Keyの使用数は消費されます。     11. WildFire API Key はどのように生成されますか？ WildFire API key はCSPアカウント毎に生成されます。（ファイアウォール毎でもWildFireサブスクリプション毎でもありません。）基本的にはひとつのアカウントにつき、ひとつのAPI Keyが生成されます。 WildFireサブスクリプションを最初にアクティベートしたタイミングでAPI Keyは自動で即生成されます。ファイアウォール デバイスをあるアカウントから別のアカウントへ移動（トランスファー）した際には、そのデバイスがWildFireサブスクリプションを持っていたとしてもWildFire API Keyは自動では生成されません。このような場合はパロアルト ネットワークス カスタマー サポートにお問い合わせいただき、WildFire API Keyの生成をリクエストしてください。     12. WildFire API Key 有効期限はどのように更新されますか？ ひとつのCSPアカウント配下にWildFireサブスクリプションを持つ複数のファイアウォール デバイスがある場合、そのうちの最も長い期限を持つライセンスがWildFire API Keyの有効期限として反映されます。WildFireサブスクリプションが更新されると、WildFire API Keyの有効期限もそれに合わせて更新されます。ライセンス更新の際にWildFire API Key自体は変更されません。つまり、ライセンス更新によって新しいAPI Keyが生成されるようなことはありません。 ファイアウォール デバイスをあるアカウントから別のアカウントへ移動（トランスファー）した際には、WildFire API Keyの有効期限は更新されません。このような場合はパロアルト ネットワークス カスタマー サポートにお問い合わせいただき、WildFire API Keyの有効期限の更新をリクエストしてください。   ... View more

※この記事は以下の記事の日本語訳です。 URL Category Bulk Check and Getting the List of Threat Names https://live.paloaltonetworks.com/t5/Management-Articles/URL-Category-Bulk-Check-and-Getting-the-List-of-Threat-Names/ta-p/146803     目的 複数のウェブサイトのリストが存在し、それぞれのPAN−DB (またはBrightCloud) URLカテゴリを確認したいケースを考えます。この際、Test-A-site (https://urlfiltering.paloaltonetworks.com) またはBrightCloud の URL/IP lookup ページ (http://www.brightcloud.com/tools/url-ip-lookup.php) で一個一個カテゴリを確認するのは手間で、ウェブサイトの数が多い場合、このやり方は現実的ではありません。   解決方法 ファイアウォールのCLIは一度に複数行のコマンドを受け付けることができます。よって、以下の手法を用いることができます。   "test url <url>" コマンドをまとめて記載したテキストファイルを作成します。 test url www.paloaltonetworks.com test url www.google.com   (オプション) URLフィルタリングを必要に応じて切り替えます。 > set system setting url-database <paloaltonetworks or brightcloud> https://live.paloaltonetworks.com/t5/Learning-Articles/PAN-DB-URL-Filtering-CLI-Command-Reference/ta-p/61598（英文） 上記1で作成したテキスト全体をファイアウォールのCLIへコピー＆ペーストします。 > test url www.paloaltonetworks.com   www.paloaltonetworks.com computer-and-internet-info (Base db) expires in 24000 seconds www.paloaltonetworks.com computer-and-internet-info (Cloud db)   > test url www.google.com   www.google.com search-engines (Base db) expires in 0 seconds www.google.com search-engines (Cloud db) :   目的 脅威IDのとある範囲の脅威名の一覧の取得。   解決方法 "show threat id <id>" コマンドをまとめて記載したテキストファイルを作成します。 show threat id 3800000 show threat id 3800001 : このようなテキストは、以下のようなスクリプトを実行すると簡単に作成できます。 #!/bin/bash   for i in {3800000..3804000} do     echo 'show threat id '${i} >> command_list.txt done 脅威IDの範囲は、以下の記事にて確認することができます。 https://live.paloaltonetworks.com/t5/Threat-Articles/Threat-ID-Ranges-in-the-Palo-Alto-Networks-Content-Database/ta-p/59969（英文）   上記1で作成したテキスト全体をファイアウォールのCLIへコピー＆ペーストします。 > show threat id 3800000   unknown spyware   > show threat id 3800001   This signature detected generic:geik.ddns[.]net   medium :   おまけTips packet-diagを実行する際の複数コマンドのリストも同じやり方でテキストとして保存し実行することができます。 https://live.paloaltonetworks.com/t5/Learning-Articles/How-to-Run-a-Packet-Capture/ta-p/62390（英文） ... View more

※この記事は以下の記事の日本語訳です。 WildFire Counters Descriptions https://live.paloaltonetworks.com/t5/Threat-Vulnerability-Articles/WildFire-Counters-Descriptions/ta-p/54434     概要 この記事では、CLIにて show wildfire statistics コマンド 、また show wildfire status コマンドを実行した際に結果に表示されるWildFireのカウンタの詳細について記載しています。   詳細 show wildfire statistics コマンド出力のカウンタの説明 カウンタ 説明 Total msg rcvd WildFireへファイルをフォワードするために、マネジメント プレーンがデータ プレーンから受信したメッセージの総数。 Total bytes rcvd WildFireへファイルをフォワードするために、マネジメント プレーンがデータ プレーンから受信した総バイト数。 Total msg lost WildFireへファイルをフォワードするために、マネジメント プレーンがデータ プレーンから受信したが、データ バッファがフルになっていたか、不正なパケット ヘッダのためにマネジメント プレーンがドロップしたメッセージの総数。 Total bytes lost WildFireへファイルをフォワードするために、マネジメント プレーンがデータ プレーンから受信したが、データ バッファがフルになっていたか、不正なパケットヘッダのためにマネジメント プレーンがドロップした総バイト数。 Total msg read WildFireへファイルをフォワードするために、データ プレーンから受信し、マネジメント プレーンによって処理されたメッセージの総数。 Total bytes read WildFireへファイルをフォワードするために、データ プレーンから受信し、マネジメント プレーンによって処理された総バイト数。 Total msg lost by read WildFireへファイルをフォワードするために、マネジメント プレーンがデータ プレーンから受信したが、なんらかのエラー（不正なパケットヘッダや壊れたデータ）によって処理することができなかったメッセージの総数。 DP receiver reset count データ プレーン側において、自動（デバイスのリセット等）または手動でコマンドラインからリセットされたWildFireへのフォワード数。 Total file count WildFireへファイルをフォワードするために、マネジメント プレーンがデータ プレーンから受信したファイルの総数。 CANCEL_BY_DP データ プレーンからマネジメント プレーンへ送られたが、データ プレーンによってキャンセルされたファイル数。これは、ファイルがAVシグネチャーにマッチしアクションがdropに設定されている場合や、その他のファイアウォール上のポリシーによってセッションがドロップされた場合、またクライアントまたはサーバーが転送をキャンセルした場合にカウントされます。 CANCEL_TIME_OUT データ プレーンからマネジメント プレーンへ送られたが、データ転送でタイムアウトが発生しマネジメント プレーンによってキャンセルされたファイル数。 CANCEL_OFFSET_NO_MATCH データ プレーンからマネジメント プレーンへ送られたが、データ プレーンからのファイル ストリームにおいて予期しないパケット（out-of-orderもしくはその他のエラー条件）が見つかったためにマネジメント プレーンによってキャンセルされたファイル数。 CANCEL_NO_MEMORY データ プレーンからマネジメント プレーンへ送られたが、マネジメント プレーン上でデータ バッファが枯渇しマネジメント プレーンによってキャンセルされたファイル数。 CANCEL_FILE_DUP_EARLY データ プレーンからマネジメント プレーンへ送られたが、第一キャッシュ レベルにヒットしたためにマネジメント プレーンによってキャンセルされたファイル数。これは、二つの同一ファイルの転送がほぼ同時に行われ、一つが許可され、他方がキャンセルされた場合に発生します。 CANCEL_FILE_DUP データ プレーンからマネジメント プレーンへ送られたが、第二キャッシュ レベルにヒットしたためにマネジメント プレーンによってキャンセルされたファイル数。これは、過去の一定期間の間にデバイスにおいて同じファイルが処理された場合に発生します。 CANCEL_FILESIZE_LIMIT データ プレーンからマネジメント プレーンへ送られたが、ユーザが定義したWildFireクラウドへフォワードするファイルの上限サイズに到達したためにマネジメント プレーンによってキャンセルされたファイル数。 CANCEL_FILENUM_LIMIT データ プレーンからマネジメント プレーンへ送られたが、同時ファイル転送数が規定の上限値に達したためにマネジメント プレーンによってキャンセルされたファイル数。 CANCEL_DISK_IO_FAIL マネジメント プレーンがWildFireクラウドへ転送する前に一時ファイルをディスクに書き込めなかった回数。これは、一般的なディスクの異常、またはディスクのバッファが割当て上限に近い場合に発生します。 CANCEL_FWD_PIPE_FULL データ プレーンからマネジメント プレーンへ送られたが、データを保持するためのバッファがディスク上で枯渇したためにマネジメント プレーンによってキャンセルされたファイル数。 DROP_NO_MEMORY WildFireへファイルをフォワードするために、データ プレーンからマネジメント プレーンへ送られたが、マネジメント プレーンにおいてデータ バッファが枯渇したためにマネジメント プレーンによってドロップされたパケット数。 DROP_NO_MATCH_FILE WildFireへファイルをフォワードするために、データ プレーンからマネジメント プレーンへ送られたが、パケットがマネジメント プレーンがバッファリングしているどのファイルにもマッチしなかったためにマネジメント プレーンによってドロップされたパケット数。 DROP_HASH_LIMIT_HIT WildFireへファイルをフォワードするために、データ プレーンからマネジメント プレーンへ送られたが、同時ファイル転送数が規定の上限値に達したためにマネジメント プレーンによってドロップされたパケット数。 DROP_DECODE_FAIL WildFireへファイルをフォワードするために、データ プレーンからマネジメント プレーンへ送られたが、パケットが壊れており正常にデコードできなかったためにマネジメント プレーンによってドロップされたパケット数。 DROP_FWD_PIPE_FULL WildFireへファイルをフォワードするために、データ プレーンからマネジメント プレーンへ送られたが、データを保持するためのバッファがディスク上で枯渇したためにマネジメント プレーンによってドロップされたパケット数。 DROP_CTLMSG_BUF_FULL バッファの枯渇を理由にマネジメント プレーンからデータ プレーンへ送信されたファイル転送のキャンセル メッセージの数。 File caching reset cnt キャッシュしているファイルのハッシュ値がリセットされた回数。これは、自動、またはコマンドラインから手動でリセットした場合に発生します。 FWD_CNT_LOCAL_FILE WildFireへファイルをフォワードするために、マネジメント プレーンが受信し、ローカルのファイル ハッシュ キャッシュをベースに新しいファイルだと判断されたファイルの数。 FWD_CNT_LOCAL_DUP WildFireへファイルをフォワードするために、マネジメント プレーンが受信し、ローカルのファイル ハッシュ キャッシュをベースに既知のファイルだと判断されたファイルの数。 FWD_CNT_LOCAL_FILE_CLEAN WildFireへファイルをフォワードするために、マネジメント プレーンが受信し、ローカルのファイル ハッシュ キャッシュをベースにBenignファイルだと判断されたファイルの数。例えば、ファイルに信頼された署名が付いている場合など。 FWD_CNT_REMOTE_FILE WildFireへファイルをフォワードするために、マネジメント プレーンが受信し、デバイス上で未知のファイルであったためWildFireクラウドへのクエリーを行い、その結果をベースに新しいファイルだと判断されたファイルの数。 FWD_CNT_REMOTE_DUP_CLEAN WildFireへファイルをフォワードするために、マネジメント プレーンが受信し、デバイス上で未知のファイルであったためWildFireクラウドへのクエリーを行い、その結果をベースにBenignファイルだと判断されたファイルの数。 FWD_CNT_REMOTE_DUP_TBD WildFireへファイルをフォワードするために、マネジメント プレーンが受信し、デバイス上で未知のファイルであったためWildFireクラウドへのクエリーを行い、その時点でVerdictが付いていなかったファイルの数。 FWD_CNT_REMOTE_DUP_MAL WildFireへファイルをフォワードするために、マネジメント プレーンが受信し、デバイス上で未知のファイルであったためWildFireクラウドへのクエリーを行い、その結果をベースにMalwareファイルだと判断されたファイルの数。 FWD_CNT_CACHE_SYNC WildFireへファイルをフォワードするために、マネジメント プレーンが受信し、デバイス上で既知のファイルであったがWildFireクラウド上では未知であったファイルの数。これは、デバイスでファイルのハッシュがキャッシュされ、かつそのファイルがなんらかの通信の問題でクラウドへ送信されなかった場合に発生します。この場合、ローカルのキャッシュ エントリは削除されます。 LOG_CNT_CACHE_EXPIRED WildFireへファイルをフォワードするために、マネジメント プレーンが受信した際、デバイス上にハッシュのキャッシュがあったが、キャッシュ エントリーの期限が切れていたのでWildFireクラウドへの再度クエリーをしキャッシュのリフレッシュを行う必要があったファイルの数。PAN-OS 5.0において実装。 LOG_CNT_DAILY_CAP_HIT WildFireのサブスクリプションがないデバイスにおいて、そのデバイスで既にデイリーのアップロード数の上限に達している状態で、マネジメント プレーンがWildFireクラウドへ送信するために受信したファイルの数。 FWD_ERR_UNKNOWN_QUERY_RESPONSE デバイスがWildFireクラウドへVerdictのクエリーを行った際に、認識不可能な結果を受信した回数。 FWD_ERR_CONN_FAIL デバイスとWildFireクラウド間でSSLトンネルの確立が失敗した回数。コネクションは即座にリトライされるか、もしくは1分間隔で行なわれます。どちらになるかは機能に依存します。 FWD_ERR_CONN_TIMEOUT WildFireクラウドへファイルをアップロードを試みている最中にタイムアウトが発生したためにファイルがドロップされた回数。 FWD_ERR_READ_FILE 予期せずファイルが壊れたか、バッファ内のファイルが削除されたかを理由にファイルがドロップされた回数。 FWD_ERR_SERVER_BUSY WildFireアプライアンス上のキューがlow water markに近づいているために、ファイルがキューされた回数。 LOG_ERR_REPORT_LOG_GEN_FAIL ソフトウェアの通信障害のためにデバイス上でWildFireのログ エントリーの生成に失敗した回数。PAN-OS 5.0において実装。 LOG_ERR_REPORT_CACHE_NOMATCH クラウドからのレポート データに基づき、既にログ イベントが生成されるものに対してWildFireクラウドからレポート データが送られてきた回数。これは異常を示すイベントではありません。PAN-OS 5.0において実装。 CANCEL_NO_LICENSE 有効なWildFireのライセンスが無いためにWildFireクラウドやWF-500にフォワードされなかったアドバンスド ファイル タイプ（APK, PDF, Microsoftオフィス ファイル, Javaアプレット）の数。 CANCEL_CONCURRENT_LIMIT その時点でディスクに保持できるファイル数の上限に達したためにキャンセルされたファイルの数。PAN-OS 6.0において実装。 Service connection reset cnt デバイスとWildFireクラウド間のSSLトンネルがリセットされた回数。これは、自動、またはコマンドラインから手動でリセットした場合のどちらでも発生します。コネクションがリセットされた際には、クラウドへ送信するためにディスクのバッファに残っているファイルも同様にリセットされます。 Log cache reset cnt ログ キャッシュがリセットされた回数。これは、自動、またはコマンドラインから手動でリセットした場合のどちらでも発生します。PAN-OS 5.0において実装。 Report cache reset cnt レポート キャッシュがリセットされた回数。これは、自動、またはコマンドラインから手動でリセットした場合のどちらでも発生します。PAN-OS 5.0において実装。 data_buf_meter WildFireへファイルをフォワードする際、マネジメント プレーンがデータ プレーンからのパケット ペイロードを蓄積しファイルの再構築を行うために使うメモリ バッファの使用率をパーセンテージで示したもの。 msg_buf_meter WildFireへファイルをフォワードする際、マネジメント プレーンがデータ プレーンからのパケット ヘッダを蓄積しファイルの再構築を行うために使うメモリ バッファの使用率をパーセンテージで示したもの。 ctrl_msg_buf_meter マネジメント プレーンからデータ プレーンへファイル キャンセル メッセージを行う際に、そのメッセージをバッファするために使うマネジメント プレーン上のメモリ バッファの使用率をパーセンテージで示したもの。 fbf_buf_meter WildFireクラウドへファイルが送信される前に、ディスク上にバッファされたファイルの位置をポイントするのに使われるマネジメント プレーン上のメモリ バッファの使用率をパーセンテージで示したもの。   show wildfire status コマンド出力のカウンタの説明 カウンタ 説明 Wildfire cloud: パブリック クラウド、またはWF-500のIPアドレスが表示されます。 Status: 正常にセットアップされている場合は、"idle"と表示されます。ファイル ブロッキング プロファイルの設定にて、アクションがforwardまたはcontinue-forwardになっていない場合は、"Disabled due to configuration"と表示されます。 Best server: 接続されているWildFireサーバー、またはWF-500のIPアドレスが表示されます。 Device registered: 正常にセットアップされ、WildFireクラウドまたはWF-500に対してレジスターされている場合は"yes"と表示されます。WildFireにレジスターされていない場合は"no"と表示されます。 Valid wildfire license: 有効なWildFireライセンスが使用されている場合は、"yes"と表示されます。 Service route IP address: WildFireに対してコネクションを張る際に使われるIPアドレスが表示されます。 Signature verification シグネチャーの照合が有効になっているかどうかを表示します。 Through a proxy WildFireへの接続がプロキシ経由かどうかを表示します。 File size limit info アップロードするファイルサイズの上限を表示します。 Forwarding info: アイドル タイムアウト値、フォワードされたファイル数の累積値、最後の1分間にフォワードされたファイル数、フォワード待ちでバッファされているファイル数、を表示します。   著者: sdarapuneni ... View more

※この記事は以下の記事の日本語訳です。 How to verify the direction of spyware signatures for downloaders https://live.paloaltonetworks.com/t5/Threat-Articles/How-to-verify-the-direction-of-spyware-signatures-for/ta-p/133412     本記事は、脅威ログに記録されるダウンローダー タイプのスパイウェア シグネチャーの方向（Direction）の確認方法について記載しています。   詳細 以下の表にあるシグネチャーは、電子メールに添付されている悪意のあるダウンローダーを検知します。これらのシグネチャーはSMTPおよびPOP3の両方で機能します。すなわち、a) 攻撃者がSMTPを利用して悪意のあるファイルを外部から送信して来た場合、b) 被害者がそのファイルをPOP3を利用してメールサーバーから受信した場合、のどちらの場合でも検知を行います。   ID 脅威名（Threat Name） 方向（Direction） 13129 JSDownloader.Gen Javascript Detection server-to-client 13606 Nemucod.JSDownloader.Gen Javascript Detection server-to-client 13996 JS.DownLoader.2332 Javascript Detection server-to-client 14119 JSDownloader.Gen javascript Detection server-to-client 14283 Locky.JSDownloader.Gen Javascript Detection client-to-server 14337 LF.JSDownloader.Gen Javascript Detection server-to-client 14542 KV.JSDownloader.Gen Javascript Detection server-to-client 14567 Nemucod.JSDownloader.Gen Javascript Detection server-to-client 14613 Locky.JSDownloader.Gen Javascript Detection server-to-client 14616 Swabfex.JSDownloader.Gen Javascript Detection server-to-client 14680 Dridex.JSDownloader.Gen Javascript Detection server-to-client 14700 Locky.LNKDownloader.Gen Script Detection server-to-client 14834 Locky.JSDownloader.Gen Javascript Detection server-to-client 14847 Cerber.JSDownloader.Gen Javascript Detection server-to-client   各シグネチャーの方向（direction）は、ID: 14283を除き、全てserver-to-clientとして定義されています。server-to-clientというのは単にログにそのように記録されるだけで、実際には前述した通りどちらの方向でも検知は行われます。ID: 14283に関しては、SMTPで検知されたという報告が多かったため、その状況に基づいて方向をclient-to-serverにする変更が施されています。     例 172.28.30.225 : POP3 サーバー / SMTP サーバー 192.168.226.225 : メール クライアント（ユーザ） 脅威 ID : 14283   悪意のあるメールがファイアウォールを経由してSMTPサーバーへ送信され、そのメールがPOP3サーバーから受信されたとします。   以下はファイアウォールからエクスポートした脅威ログの一部です。   脅威ID: 14283の方向はclient-to-serverなのでPOP3で記録されたログにおいて、あたかもユーザ（192.168.226.225）がサーバー（172.28.30.225）に対して攻撃を行っているかのように見えます。   同様に、方向がserver-to-clientとなっているその他のシグネチャーについては、SMTPの場合に脅威ログが逆方向に記録されいてるように見えます。   これは、脅威ログを生成する際の制限事項であり、期待された動作となります。     著者: ymiyashita ... View more

JPのIPアドレスの問題に特化したトラッカーです。   日付 報告バージョン IPレンジ 変更内容 修正バージョン （内部 ID） 2016-01-03 548 158.198.0.0/16 CN -> JP 551 89899  2016-06-02 586 158.198.140.0 - 158.199.140.255 CN -> JP 587 97237 2016-08-11 603 210.226.32.0- 210.226.35.255 AU -> JP 607 102212 2016-08-23 607 (603) 210.140.196.0/22 CN -> JP 609 103035 2016-08-18 606 (603) 158.199.128.0/19 158.199.192.0/19 160.16.192.0/20 210.140.64.0/21 210.140.96.0/21 210.140.55.00 - 210.140.79.255 210.140.85.00 - 210.140.109.255 CN -> JP 609 102755 2016-08-30 607 (603) 153.126.145.0 - 153.126.159.255 CN -> JP 615 103506 2016-08-30 607 (603) 158.199.192.0 - 158.199.200.255 CN -> JP 615 103506 2016-08-30 607 (603) 160.16.195.0 - 160.16.199.255 CN -> JP 615 103506 2016-08-30 607 (603) 160.16.243.0/24 CN -> JP 615 103506 2016-08-30 607 (603) 210.129.19.0 - 210.129.26.255 CN -> JP 615 103506 2016-08-30 607 (603) 210.152.241.0 - 210.152.250.255 CN -> JP 615 103506 2016-09-01 610 (603) 210.129.18.0/24 CN -> JP 615 103807 2016-08-30 608 (603) 210.140.193.128/27 210.140.191.0 - 210.140.199.255 CN -> JP 615 103495 2016-09-06 610 (603) 210.151.32.0/20 CN -> JP 615 103913 2016-08-30 608 (603) 160.16.224.0/19 160.16.224.0 - 160.16.255.255 CN -> JP 626 103496 CON-25963 2016-09-23 615 153.126.128.0 - 153.126.144.255 210.129.27.0 - 210.129.31.255 CN -> JP 622 105312 CON-26226 2016-09-23 615 158.199.217.85 158.199.212.115 158.199.201.0 - 158.199.210.255 158.199.211.0 - 158.199.224.255 CN -> JP 622 105303 CON-26224 2016-08-18 606 (603) 158.199.158.129 158.199.137.0 - 158.199.191.255 CN -> JP 622 102755 103506 105101 CON-26184 2016-09-23 615 158.199.157.0 - 158.199.159.255 CN -> JP 622 CON-26184 2016-10-17 623 (603) 210.170.99.178 210.170.99.179 210.148.58.0 - 210.175.255.255 SG -> JP 626 CON-26461 2016-10-26 625(625) 160.16.200.0 - 160.16.255.0 CH -> JP 626 -   ... View more

※この記事は以下の記事の日本語訳です。 CVE-2004-0230—Guessi ng TCP Sequence Numbers and Injecting RST Packets https://live.paloaltonetworks.com/t5/Threat-Articles/CVE-2004-0230-Guessing-TCP-Sequence-Numbers-and-Injecting-RST/ta-p/65945     TCP実装において大きいTCPウィンドウ サイズを使用した際、特にBGPのような長時間接続を維持する コネクションを使うプロトコルの場合、リモートの攻撃者にとってはシーケンス番号の推測がより容易になり、TCP RSTパケットを繰り返し挿入することによってDoS攻撃 (Denial of Service attack )  やコネクション断を引き起こし易くなります。   情報元: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-0230 http://www.rfc-base.org/txt/rfc-5961.txt   攻撃が成功するためには、RSTパケットがTCPの受信ウィンドウ内に入ってなくてはなりません。攻撃者は考えられ得るそれぞれのウィンドウ サイズをカバーするために、大量のRSTセグメントを作り出します。これを実際に行うためには、攻撃者はいくつかの情報を既に持っているか、あるいは推測しなければなりません。   4-タプル （双方向のコネクションのIPアドレスとTCPポート番号） RSTパケットに使用されるシーケンス番号 お互いの端末が使っているウィンドウ サイズ。この値は正確なウィンドウ サイズである必要はありません。何故なら、正しい値の代わりにより小さい値を使うことは、攻撃者にとっては攻撃に成功するまで単により多くのセグメントを生成するだけの事であるからです。しばしば攻撃者は、ある程度の確実性を持って  (攻撃対象のアプリケーションを把握していて )、コネクション上で使われる実際のウィンドウ サイズに非常に近い値を導き出せるものです。 受信ウィンドウは、送り主がACKを受信せずに転送可能なバイト数となります。   上記の情報を集めあわせた後、攻撃者は、RSTフラグをセットし、推測したTCPシーケンス番号をつけ偽装したTCPセグメントを送信し始めます。新しいRSTセグメントが送信される度に、シーケンス番号の推測値はウィンドウ サイズ分だけ増やされます。   すべてのアプリケーションは、偽装攻撃を受ける可能性に大きく影響するいくつかの要素を持っています。これらの要素は以下を含みます：   ウィンドウ サイズ サーバー側ポート番号 クライアント側ポート番号   言い換えると、攻撃が成功するまでRSTセグメントを挿入する回数の平均値は、2の31乗をウィンドウ サイズで割った数 (2^31/window) であり、2の31乗の値ではありません。これはウィンドウが大きくなればなるほど、少ない推測で済む事を意味します。   この式に当てはめてみると、ウィンドウ サイズが 32,768 の場合、TCPの受け側にて偽装したTCPセグメントが受け入れられるには平均で 65,536 のパケットが転送されなければならないことがわかります。(2^31 = 2147483648 / 32,768 =65536 )  ウィンドウサイズが 65,536であれば、この平均値は 32,768まで減少します。 昨今のアクセス帯域幅を考えれば、このサイズでの攻撃は決して不可能ではありません。   一般家庭やオフィスでの帯域幅は増えてきており、帯域幅が大きくなるほどデフォルトのウィンドウ サイズは大きくなっていくと想像されます。   少数のパケットのやり取りの間のみ継続するTCPコネクションの場合（大抵はウェブ通信）、攻撃者は十分なトラフィックを生成できないため、このような攻撃に対してはあまり影響を受けないと言えるでしょう。しかし、BGPのような幾つかのアプリケーションは、この脆弱性に対し潜在的に最も影響を受ける可能性を持っています。BGPは、ピアとの間の継続的なTCPセッションの上に成り立ちます。コネクションがリセットされてしまうと、ルーティングテーブルの再構築が必要となり、また経路フラッピングも起きるため、結果としてサービス不能の状態に陥ります。BGPのようにTCP MD5オプションが使用可能なアプリケーションに関しては、そのオプションを使用することでこの攻撃を無効化することができます。   この脅威の回避策となる RFC 5961 は PAN-OS 6.0.0 において実装されています。     著者: mmmccorkle ... View more

※この記事は以下の記事の日本語訳です。 How to Block Shellshock - CVE-2014-6271 and Related CVEs https://live.paloaltonetworks.com/t5/Threat-Articles/How-to-Block-Shellshock-CVE-2014-6271-and-Related-CVEs/ta-p/62469     概要 Palo Alto Networks は、一般に  Shellshock として知られる  CVE-2014-6271 とその関連 CVE を検知するためのシグネチャをコンテンツ バージョン #458にてリリースしました。CVE-2014-6271、CVE-2014-7169、CVE-2014-6277、およびCVE-2014-6288は、脅威 ID #36729, #36730, #36731, #36732, #36736, #36737 にて検知可能です。これらの脅威は、 HTTP、DHCP、FTP、およびSIPにおいて検知されます。なお、それらのトラフィックが通過する セキュリティ ポリシーには、 脆弱性防御プロファイルが適用されている必要があります。   脅威防御 ( Threat Prevention)  のサブスクリプションを保有するセキュリティ管理者は、これらの脅威をブロックしたいのであれば、重要度が criticalで定義されている全ての脅威をブロックするように脆弱性防御プロファイルを設定するか、もしくは Shellshockをカバーする脅威シグネチャ用に別途例外処理を設定してください。   注: Palo Alto Networks は コンテンツ  バージョン #460 にて全ての Shellshock用シグネチャのデフォルトのアクションを  "alert" から "reset-both" に変更しました。そのため、 重要度が criticalの脆弱性に デフォルト アクションを適用した場合は、 コンテンツ  バージョンを #460以降にアップデートした後にこれらの脅威がブロックされることになります。以下の手順は、デフォルト アクションを使っていない場合や、既存の脆弱性防御プロファイルにて例外設定を行う場合には依然として必要となります。   手順 デバイスにて、 コンテンツ  バージョン #458 以降がインストールされていることを確認します。もし、バージョンが古ければ、ダイナミック更新を行ってください。 ウェブ UI Device > ダイナミック更新 へ移動し コンテンツ  バージョンが #458 以上であることを確認します。以下がその例です。 注: もし古い コンテンツ  バージョンのみ表示されているようであれば、「今すぐチェック」ボタンを押して更新してください。 CLI "show system info" コマンドを実行し、 コンテンツ  バージョン #458 以降がインストールされていることを確認します。 以下がその例です。 > show system info hostname: PA-NGFW ip-address: 10.0.0.1 netmask: 255.255.0.0 ... threat-version: 458-2380 threat-release-date: 2014/09/26  00:21:59 ... もし古いバージョンがインストールされていたら、以下の一連のコマンドを実行してください。 > request content upgrade check > request content upgrade download latest > request content upgrade install version latest 注: アップグレードのためのジョブが無事終了すると、デバイスは最新の コンテンツ  データベースにアップデートされます。 脆弱性防御プロファイルを作成し、脅威をブロックするように想定しているトラヒックが通過しうる全てのセキュリティ ポリシー上でそのプロファイルが適用されていることを確認してください。 Policies > セキュリティ に移動し、設定を確認します。必要に応じて脆弱性防御プロファイルを適用してください。 Objects > セキュリティ プロファイル > 脆弱性防御 に移動し、これらの脅威をブロックするために用意した脆弱性防御プロファイルの名前をクリックします。 「例外」タブをクリックします。 「すべてのシグネチャの表示」にチェックを入れます。 検索ボックスに "36729" と入力し、エンターを押すか、緑の矢印をクリックします。 注: 36729を検索した際に何も表示されなければ、GUIキャッシュをクリアするために、一度ウェブUIからログアウトしてログインしなおしてください。再ログイン後、シグネチャが表示されるようになります。 シグネチャID #36729の隣にある「有効化」のチェックボックスにチェックを入れ有効にします。 シグネチャのアクションを変更するため「アクション」にある項目をクリックし、希望するブロック アクションを選択します。 OK ボタンを押しダイアログボックスを閉じます。設定が正しいことを確認してください。 上記の手順6から9までを#36730, #36731, #36732, #36736, #36737の各シグネチャに対して行います。 注: これらの手順は、 Shellshockをブロックするために用意した全ての脆弱性防御プロファイルにおいて繰り返し行う必要があります。 OKをクリックし、脆弱性防御プロファイルのダイアログボックスを閉じます。 設定をコミットします。   参考 リサーチ センター ブログ "Palo Alto Networks Addresses Bash Vulnerability Shellshock: Mitigation for CVE-2014-6271"  (英文) Palo Alto Networks Security Advisories, PAN-SA-2014-0004  (英文) NIST National Vulnerability Database CVE-2014-7169   (英文) NIST National Vulnerability Database CVE-2014-6271    (英文) NIST National Vulnerability Database CVE-2014-6277   (英文) NIST National Vulnerability Database CVE-2014-6278   (英文)   著者: ggarrison   ... View more

※この記事は以下の記事の日本語訳です。 CVE-2011-3389: The BEAST Attack to TLS 1.0 https://live.paloaltonetworks.com/t5/Threat-Articles/CVE-2011-3389-The-BEAST-Attack-to-TLS-1-0/ta-p/60852     詳細 2011年、ある攻撃手法 ("BEAST"攻撃)がCBCモードを使ったSSL 3.0とTLS 1.0プロトコルに対して実演されました (CVE-2011-3389)。Palo Alto Networksから開始される、もしくは終端する全てのSSL/TLSコネクションは、CBCモードを使ったTLS 1.0の利用をサポートしますが、BEASTにより受ける影響は限られたものです。   Palo Alto Networksデバイスのマネージメント インターフェイス: BEAST攻撃が成功するためには、以下の条件を満たす必要があります。 攻撃者はデバイスのマネージメント インターフェイスへアクセス可能であること。ネットワーク セキュリティのベストプラクティスによれば、通常マネージメント インターフェイスは専用の管理ネットワークにのみ提供されていて、プロダクションのネットワーク トラフィックとは隔離されているものです。 被害を受けうる管理者は更新されていない古いブラウザを使用しており、SSL 3.0 と TLS 1.0 の通信でCBSモードを無効にするアップデートが行われていない。 被害者がPalo Alto Networksデバイスのウェブベース マネージメント インターフェイスにHTTPSでアクセスする前に、起動中のブラウザが保持している同じブラウザ セッションを使用して、攻撃者は特別に細工したリクエストを被害者のブラウザからあるHTTPSサイトに向けて生成することが可能であること。 最初のステップは、初期化ベクター(IV)を知ることであり、これは次のステップにおいてサイトに訪れたときにできるSSLセッションをエクスプロイトするのに使用されます。 注: 項目3に書かれた内容は、現実的にはかなり困難なことです。そしてこの問題自体は、項目1に書かれているように管理ネットワークとプロダクションのネットワークが隔離されてさえいれば、完全に回避可能です。   GlobalProtect ポータルとゲートウェイ: GlobalProtectクライアントから、ポータルおよびゲートウェイへのSSL VPNトンネル用のコネクションは BEAST攻撃の 影響を受けません。何故なら、GlobalProtectクライアントではウェブ ブラウザのようにIV（初期化ベクター）を割り出すような操作ができないためです。   GlobalProtectポータルにウェブ ブラウザからアクセスした場合は、管理GUIと同様、上記に記載されたように BEAST攻撃の影響を受けます。ただし、ここでの機能は GlobalProtectクライアントをダウンロードするのみでありVPNコネクションはこの時点では張られていないので、影響範囲は極めて限られています。   著者: gwesson   ... View more

※この記事は以下の記事の日本語訳です。 SSL 3.0 MITM Attack (CVE-2014-3566) (PAN-SA-2014-0005) aka Poodle https://live.paloaltonetworks.com/t5/Threat-Articles/SSL-3-0-MITM-Attack-CVE-2014-3566-PAN-SA-2014-0005-aka-Poodle/ta-p/61856     詳細 本脆弱性の詳細につきましては、以下のセキュリティ アドバイザリを参照してください。 Palo Alto Networks Product Vulnerability - Security Advisories  (英文)   本文書ではセキュリティ アドバイザリに補足する形で詳細を記載します。Palo Alto Networks は本脆弱性に対応するために、製品毎に別の変更を施しています。本文書で記載しているように、この攻撃はそれぞれの機能毎にその影響範囲が限られています。 注: GlobalProtect ポータル、GlobalProtect ゲートウェイ、キャプティブ ポータルにおいて、Palo Alto Networks はSSLv3を無効化するように取り組みをしています。このプロセスは2つ以上のメンテナンス リリースを経るかもしれません。追加情報があれば、都度本文書を更新してまいります。   管理ウェブ GUI サーバー Palo Alto Networks は、デバイスの管理サービスを専用のVLANに制限するか、もしくは信頼できるネットワークとしてセグメントを分け、可能な限り信頼されないホストに晒されないようにすることを推奨します。仮にそれができない場合は、ウェブGUIはSSLv3リクエストに応答することになります。 注: PAN-OS 5.0.16、6.0.8、6.1.2以降のバージョンにおいて、デバイスの管理用コネクションにSSLv3は使用しないようになっています。   GlobalProtect ポータル GlobalProtect ポータル ページはブラウザでアクセスした場合、CVE-2014-3566の影響を受ける場合があります。攻撃が成功した際に取得される情報は認証クッキーのみです（ユーザ名、パスワードは窃取されません）。 ポータル ページにおける認証クッキーはGlobalProtectクライアントをダウンロードするためだけに使用され、GlobalProtectのログインやVPN接続には使用されません。   GlobalProtect ゲートウェイ GlobalProtect ゲートウェイは実際にSSLv3リクエストに対して応答をします。ただし、CVE-2014-3566が成功するためには、攻撃者が用意したJavascriptやウェブ ソケット コードと共にブラウザがハイジャックされ、かつクッキーを含んだリクエストが被害者のサーバーに向けて発行され１バイトずつ復号化される必要があります。GlobalProtect エージェントはブラウザではないので、このような攻撃に対して影響を受けません。   キャプティブ ポータル キャプティブ ポータルはSSLv3リクエストに対して応答をしますが、キャプティブ ポータルは内部的にユーザを認証するものであり、設定が正しく成されていれば外部からアクセスはされません。ただし、内部に感染したクライアントが存在すれば、それが攻撃の起点になる可能性があります。   Panorama Palo Alto NetworksファイアウォールとPanorama間でのコネクションではSSLv3をサポートしないため、本脆弱性の影響を受けません。   著者: gwesson ... View more

※この記事は以下の記事の日本語訳です。 Addressed: Palo Alto Networks Product Security Regarding the June 5th OpenSSL Security Advisory https://live.paloaltonetworks.com/t5/Threat-Articles/Addressed-Palo-Alto-Networks-Product-Security-Regarding-the-June/ta-p/59677     更新: 本文書に書かれた問題は既に対応済みです。 この問題は、PAN-OS 6.0.4, 5.1.9, 5.0.14にて対応済みです。これらのバージョン、もしくはそれ以降のバージョンにすることで問題は回避されます。   要約 Palo Alto Networks PAN-OS ソフトウェアは、特定の限られたケースにおいて、マン・イン・ザ・ミドル (MITM) 攻撃に繋がる脆弱性CVE-2014-0224の影響を受ける可能性があります。これに対応するため、Palo Alto Networksは、全てのサポート対象のバージョンに対し、次に予定されているメンテナンス リリースにおいて弊社の製品で使われているOpenSSLソフトウェアにパッチを適用します。なお、GlobalProtectは影響を受けません。   注: 2014年6月5日に報告されたOpenSSLの脆弱性のうち、その他6つのCVEに関しては、弊社のソフトウェア プラットフォームは影響を受けません。   詳細 Palo Alto Networksの製品セキュリティ エンジニア チームは2014年6月5日に報告されたOpenSSLの脆弱性が弊社の製品に影響を及ぼすかどうか解析を行いました。記載されている7つのCVEのうち、CVE-2014-0224のみが弊社のソフトウェアに関連していることがわかりました。残りのCVEに関しては、弊社のソフトウェアは DTLS (Datagram Transport Layer Security)、及びアノニマス ECDH (Elliptic curve Diffie-Hellman) を使わないため影響はありません。CVE-2014-0224による影響も限られています。何故なら、影響を受けるのはクライアントとサーバーが同時に脆弱である場合であるためです。PAN-OSはクライアントとしては影響を受けますが、サーバーとしては影響を受けません。結果、マン・イン・ザ・ミドル (MITM) 攻撃の影響を受ける可能性があるのは、脆弱性のあるOpenSSLバージョン(OpenSSL 1.0.1 and 1.0.2-beta1)を使っている外部のサーバーに弊社のソフトウェアが接続をしにいった際に作られるセッションのみに限られます。   お客様の設定によって、MITMに対して脆弱なサービスは様々です。例えば、脆弱なOpenSSLサーバーを動かしているプロキシをSSLを用いて使うファイアウォールのサービスであったり、脆弱なOpenSSLサーバーを動かしているsyslogサーバーへSSLでログ転送するサービスであったり、脆弱なOpenSSLサーバーを動かしているディレクトリ サーバーに接続に行くユーザーIDエージェントなどがあります。GlobalProtectポータルとゲートウェイは脆弱でないため、GlobalProtectは影響を受けません。   これに対応するため、Palo Alto Networksは、全てのサポート対象のバージョンのPAN-OS、ユーザーIDエージェント、GlobalProtectに対し、次に予定されているメンテナンス リリースにおいて弊社の製品で使われているOpenSSLソフトウェアにパッチを適用します。お客様は、自身が運用するサーバーにおいて脆弱性のあるOpenSSLのバージョン(1.0.1 and 1.0.2-beta1)を使わないようにすることで、上記に書かれた問題を回避することができます。不明な点がありましたら、Palo Alto Networks サポートチームにお問い合わせ下さい。    OpenSSL アドバイザリ: https://www.openssl.org/news/secadv_20140605.txt  (英文)   著者: gwesson ... View more

※この記事は以下の記事の日本語訳です。 GHOST - Linux Remote Code Execution CVE-2015-0235 0-day Vulnerability https://live.paloaltonetworks.com/t5/Threat-Articles/GHOST-Linux-Remote-Code-Execution-CVE-2015-0235-0-day/ta-p/59444     2015年1月27日(火)に、いくつかのLinuxディストリビューションにおけるGetHost関数において、リモート コードを実行される脆弱性が発見されました。通称、"GHOST glib gethostbyname" と呼ばれるバッファ オーバーフローの脆弱性(CVE-2015-0235)です。   Qualysによって書かれた脆弱性のまとめの中で提供された概念実証 (proof of concept)によって実証されたように、Palo Alto Networksは本脆弱性が IPSシグネチャID #30384, "SMTP EHLO/HELO overlong argument anomaly” over SMTP によって防御されることを確認しました。攻撃に成功してしまうと、サーバーの権限の元でリモート コードを実行することが可能となります。   脅威防御サブスクリプションを保持するお客様は、Palo Alto Networks デバイス上で最新版のコンテント バージョンが当たっていること、また適切にポリシーが設定されていることを確認されることを推奨します。不明な点がありましたら、Palo Alto Networks サポート チームにお問い合わせ下さい。   この脆弱性についての詳細に関しましては、以下を参照してください。   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0235  (英文) https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/the-ghost-vulnerability  (英文)   著者:  panagent ... View more

※この記事は以下の記事の日本語訳です。 How to Block A Threat For a Specific Time Interval https://live.paloaltonetworks.com/t5/Threat-Articles/How-to-Block-A-Threat-For-a-Specific-Time-Interval/ta-p/58181     概要 本文書では、脅威を検知した際に、予め設定した一定時間その脅威をブロックする方法について説明します。   詳細 この制御は、アンチスパイウェアと脆弱性防御の両方において設定が可能です。   アンチスパイウェア Objects > セキュリティ プロファイル > アンチスパイウェア へ移動し、「追加」をクリックします。 アンチスパイウェア プロファイル > 例外 > 名前 の欄で、名前を入力します。 「すべてのシグネチャの表示」にチェックを入れ、該当の脅威 IDを入力し、「アクション」をクリックします。 「block-ip」を選択すると、時間を設定する項目が表示されます。時間は1秒から3600秒の間で設定が可能です。「追跡」では「IPソース」または「IPソース及び宛先」のどちらかを選択してください。 設定変更後のアクションは以下のように表示されます。 実際に攻撃が検知されるとセキュリティ ポリシーに割り当てた本プロファイルが適用されます。ソースIPと宛先IPアドレスがトラックされ、3600秒の間ブロックされ続けます。   脆弱性防御 Objects > セキュリティ プロファイル > 脆弱性防御 へ移動し「追加」をクリックします。 名前を設定し、「例外」タブへ移動します。 「すべてのシグネチャの表示」にチェックを入れ、該当の脅威 IDを入力します。 「block-ip」を選択すると、時間を設定する項目が表示されます。時間は1秒から3600秒の間で設定が可能です。「追跡」では「IPソース」または「IPソース及び宛先」のどちらかを選択してください。 設定変更後のアクションは以下のように表示されます。 実際に攻撃が検知されるとセキュリティ ポリシーに割り当てた本プロファイルが適用されます。ソースIPと宛先IPアドレスがトラックされ、3600秒の間ブロックされ続けます。   著者: dantony ... View more

※この記事は以下の記事の日本語訳です。 Change the Brute Force Trigger Criteria https://live.paloaltonetworks.com/t5/Threat-Articles/Change-the-Brute-Force-Trigger-Criteria/ta-p/62405     概要 本文書では、 Palo Alto Networksファイアウォールを通過する brute force攻撃を検知するためのシグネチャのデフォルト設定の見方と変更方法について説明します。   手順 Objects > セキュリティ プロファイル > 脆弱性防御 へ移動し、脆弱性 防御プロファイルを開きます。 「例外」タブを開きます。 必要に応じて「すべてのシグネチャの表示」をクリックします。 検索ボックスにて、"brute force" と入力するか、脅威ID を入力します。 カスタマイズするには、シグネチャ名の横にある鉛筆アイコンをクリックします。 必要に応じて、時間属性の編集を行います。集約基準は、Source、Destination、Source-and-Destinationのいずれかを選択してください。 変更が完了したら、「有効化」チェックボックスにチェックを入れ有効にします。 変更をコミットします。    参考 brute force 関連の脆弱性リストは以下の文書を参照してください。 Trigger Conditions for Brute Force Signatures (英文)   著者: sdarapuneni   ... View more

※この記事は以下の記事の日本語訳です。 Where to Get a Suspicious DNS Query for Testing DNS Sinkhole https://live.paloaltonetworks.com/t5/Threat-Articles/Where-to-Get-a-Suspicious-DNS-Query-for-Testing-DNS-Sinkhole/ta-p/66048     テストをするには、まず2番目に古いアンチウイルス パッケージをダウンロード ＆ インストールします。そして最新版のアンチウイルス パッケージのリリースノートを参照し、Suspicious DNS Queryをどれか一つ選びます。   例えば、アンチウイルス パッケージ  1594-2071  をダウンロード＆インストールし、アンチウイルス パッケージ  1595-2072  のリリースノートを確認します。 1595-2072  のリリースノートの中で  'Suspicious DNS Query' を検索すると、以下のような結果が得られます。   Suspicious DNS Query (generic:akrqbqpgs 1 variants: net) クライアント端末のコマンドラインで、以下のコマンドを実行するとDNSシンクホールのアドレスが得られます。 nslookup akrqbqpgs.net     著者: pankaj.kumar ... View more