Søk i denne bloggen

PaloAltoNetworks firewall - URL Categories - %

 

Alle vet at internett kan være et skummelt sted, hva med å begrense det litt?
Hvis en tenker at en bruker skal ha tilganger til alt han/hun trenger for å få utført arbeidet sitt så bør vel det holde?

Hvor mye av internett kan du blokkere på jobb og allikevel gjøre jobben din?

Satt opp et eksempel her, da med lik prosentsats pr kategori, noe som ikke stemmer helt med virkeligheten, men som likevel gir en pekepinn på hvor mye du egentlig kan begrense internett på en arbeidsplass.

eksempel

Kan ta et eksempel på et phishing angrep som er mye brukt i 2023.

Bruker få en mail med et .html vedlegg, når personen åpen vedlegget blir den åpnet lokalt på pc.
URL filter vil ikke kunne blokkere den da trafikken er på lokal pc og ikke via en brannmur.
Antivirus vil normalt ikke blokkere denne da den kun inneholder normal html kode.
Personen som har åpent vedlegget får så beskjed om å legge inn brukernavn og passord da dette dokumentet kun er ment for han/hun.
Når bruker har lagt inn dette og bekreftet sin MFA vil infoen blir sendt til en webside som kontrolleres av angriper. Hvis den websiden er blokkerte i URL kategoriene over så er angrepet mislykket.

Om du er i en slik situasjon vil jeg vil fortsatt anbefale å bytte passord snarest, men din "MFA session token" er fortsatt sikker.


PaloAltoNetworks firewall - URL Categories - Continue

URL filter, Alert vs Continue kan utgjøre en stor forskjell.

Hvis det er noen av PA URL kategoriene du bruker på jobb, men bruker sjelden så bør du endre kategorien fra Alert til Continue. Da vil bruker få opp et varsel om han/hun havner på en side i valgt kategori.

Med en Continue vil en også automatisk blokkere om pc forsøker en skjult nedlasting av virus fra en side i en av kategoriene som du har valg Continue på. 

Om det er en webside så vil bruker få mulighet å gå videre, en kan endre tidsbegrensningen på dette slik at kategori f.eks er åpen i 30 minutter før en får ny continue melding.

Anbefaler virkelig å ha mye på Continue for IT bruker, disse har mer tilgang enn andre og bør derfor sikres enda med.

 



P.S. for å få opp URL block response page når en ikke har på decrypt så må en aktivere den via CLI:

set deviceconfig setting ssl-decrypt url-proxy yes

Info hentet fra:

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFKCA0




Cortex XDR - XQL-QUERY: NGFW Monitor Traffic

 

Hvis du har Cortex XDR Pro pr TB og en eller flere PA NGFW så vil jeg anbefale å kjøre denne som en XQL-QUERY:


dataset = panw_ngfw_traffic_raw 
|fields from_zone, source_ip , source_user , is_decrypted , to_zone , dest_ip , protocol , dest_port , app , bytes_sent , bytes_received  , action , rule_matched , log_source_name 


Med denne kan du få likt bilde og like søkemuligheter som du får direkte på din PA NGFW under Monitor - Traffic
 
En kan også lage for Monitor-Threat og Monitor-URL Filtering om en ønsker det.



Veldig fin å ha om de som jobber med Cortex XDR av en eller annen årsak ikke har tilgang til brannmur direkte.




Slik blir XQL-QUERY for Monitor - URL Filtering:

dataset = panw_ngfw_url_raw 
|fields from_zone, source_ip , source_user , is_decrypted , to_zone , url_category , uri , dest_ip , protocol , dest_port , app , action , rule_matched , log_source_name