Zur Startseite gehen
0,00 €*

Seiten-Permalink

Verwenden Sie beim Verweisen auf diese Seite immer den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/20.0/Help/en-us/webhelp/onlinehelp/index.html?contextId=active-threat-response-troubleshoot

Fehlerbehebung bei Active Threat Response

IoC wurde nicht blockiert.

Stellen Sie sicher, dass Sie die erforderlichen Einstellungen und Regeln konfiguriert haben. Siehe Anforderungen für Bedrohungsfeeds.

Wenn ein IoC nicht blockiert ist, stellen Sie wie folgt sicher, dass er nicht zu den Ausschlüssen „Aktive Bedrohungsreaktion“, „Web“ und „Entschlüsselung“ gehört:

  1. Aktive Reaktion auf Bedrohungen: Klicken Sie auf Bedrohungsausschlüsse und stellen Sie sicher, dass die Liste nicht die IoCs oder die Netzwerkhosts enthält, die die Anfrage stellen.

  2. Web-Richtlinie: Stellen Sie sicher, dass die Domänen und URLs nicht Teil einer Webrichtlinie sind mit Aktion eingestellt auf Erlauben.

    1. Gehe zu Aktive Reaktion auf Bedrohungen und klicken Sie auf Protokolle öffnen Protokollanzeige.

    2. Wählen Webfilter in der Dropdown-Liste und suchen Sie nach dem IoC in der Kategorie Spalte.

      Sie können auch nach der Domäne suchen.

      Select web filter and search.

    3. Um die ID der Firewall-Regel anzuzeigen, die die Domäne oder URL zugelassen hat, und die in der Firewall-Regel ausgewählte Webrichtlinie, klicken Sie auf die Detailansicht Detailed view of logs. Symbol.

      Notiz

      Sie können eine URL-Gruppe erstellen und sie einer Webrichtlinie hinzufügen mit Aktion eingestellt auf Block. Fügen Sie die Richtlinie einer LAN-zu-WAN-Firewallregel hinzu und positionieren Sie die Regel über der Regel, die die Domäne oder URL zugelassen hat.

  3. Web- und SSL/TLS-Ausschlüsse: Überprüfen Sie die Ausschlüsse für den von Ihnen verwendeten Webfiltermodus.

    • Wenn Sie Webproxygehen Sie zu Web > Ausnahmen und stellen Sie sicher, dass keine der Ausnahmeregeln die folgenden Einstellungen hat:

      1. URL-Musterübereinstimmungen, Webkategorien, oder Ziel-IP-Adressen die dem IoC entsprechen.
      2. Quell-IP-Adressen die mit dem Endpunkt des Benutzers übereinstimmen, der die Anforderung stellt.

    • Wenn Sie DPI-Engine, gehen Sie wie folgt vor:

      1. Gehe zu Protokollanzeige, wählen SSL/TLS-Prüfung in der Dropdown-Liste und suchen Sie nach der URL in der Servername Spalte.

        Sie können auch nach der URL suchen.

      2. Im Aktion Stellen Sie sicher, dass die dem Datenverkehr entsprechende SSL/TLS-Überprüfungsregel ihren Aktion eingestellt auf Entschlüsseln.

      3. Wenn es auf Nicht entschlüsseln, suchen Sie nach der Regel-ID im SSL/TLS-Regel Spalte.

        Notiz

        URLs müssen entschlüsselt werden. Sie können also eine URL-Gruppe erstellen und sie einer SSL/TLS-Inspektionsregel hinzufügen mit Aktion eingestellt auf Entschlüsseln und positionieren Sie die Regel über der Regel, die die URL zugelassen hat.

Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung