Fehlerbehebung bei Active Threat Response

Stellen Sie sicher, dass Sie die erforderlichen Einstellungen und Regeln konfiguriert haben. Siehe Anforderungen für Bedrohungsfeeds.

Wenn ein IoC nicht blockiert ist, stellen Sie wie folgt sicher, dass er nicht zu den Ausschlüssen „Aktive Bedrohungsreaktion“, „Web“ und „Entschlüsselung“ gehört:

1. Aktive Reaktion auf Bedrohungen: Klicken Sie auf Bedrohungsausschlüsse und stellen Sie sicher, dass die Liste nicht die IoCs oder die Netzwerkhosts enthält, die die Anfrage stellen.

2. Web-Richtlinie: Stellen Sie sicher, dass die Domänen und URLs nicht Teil einer Webrichtlinie sind mit Aktion eingestellt auf Erlauben.

   1. Gehe zu Aktive Reaktion auf Bedrohungen und klicken Sie auf Protokolle öffnen Protokollanzeige.

   2. Wählen Webfilter in der Dropdown-Liste und suchen Sie nach dem IoC in der Kategorie Spalte.

      Sie können auch nach der Domäne suchen.

      

   3. Um die ID der Firewall-Regel anzuzeigen, die die Domäne oder URL zugelassen hat, und die in der Firewall-Regel ausgewählte Webrichtlinie, klicken Sie auf die Detailansicht Symbol.

      Notiz

      Sie können eine URL-Gruppe erstellen und sie einer Webrichtlinie hinzufügen mit Aktion eingestellt auf Block. Fügen Sie die Richtlinie einer LAN-zu-WAN-Firewallregel hinzu und positionieren Sie die Regel über der Regel, die die Domäne oder URL zugelassen hat.

3. Web- und SSL/TLS-Ausschlüsse: Überprüfen Sie die Ausschlüsse für den von Ihnen verwendeten Webfiltermodus.

   • Wenn Sie Webproxygehen Sie zu Web > Ausnahmen und stellen Sie sicher, dass keine der Ausnahmeregeln die folgenden Einstellungen hat:

     1. URL-Musterübereinstimmungen, Webkategorien, oder Ziel-IP-Adressen die dem IoC entsprechen.
     2. Quell-IP-Adressen die mit dem Endpunkt des Benutzers übereinstimmen, der die Anforderung stellt.

   • Wenn Sie DPI-Engine, gehen Sie wie folgt vor:

     1. Gehe zu Protokollanzeige, wählen SSL/TLS-Prüfung in der Dropdown-Liste und suchen Sie nach der URL in der Servername Spalte.

        Sie können auch nach der URL suchen.

     2. Im Aktion Stellen Sie sicher, dass die SSL/TLS-Überprüfungsregel, die dem Datenverkehr entspricht, in der Spalte Aktion eingestellt auf Entschlüsseln.

     3. Wenn es auf Nicht entschlüsseln, suchen Sie nach der Regel-ID im SSL/TLS-Regel Spalte.

        Notiz

        URLs müssen entschlüsselt werden. Sie können also eine URL-Gruppe erstellen und sie einer SSL/TLS-Inspektionsregel hinzufügen mit Aktion eingestellt auf Entschlüsseln und positionieren Sie die Regel über der Regel, die die URL zugelassen hat.

Die kleineren Desktop-Firewall-Appliances verfügen möglicherweise nicht über genügend Speicherplatz, um einen großen Bedrohungsfeed zu speichern. Wenn die Firewall nicht über genügend Speicherplatz verfügt, um die vollständige Liste zu speichern, wird die Speicher voll Fehler. Siehe Verwalten von Bedrohungsfeeds von Drittanbietern.

Überprüfen Sie, ob die Bedrohungsfeed-Datei geöffnet wird, wenn Sie die URL im Browser eingeben. Andernfalls liegt die Datei möglicherweise nicht im richtigen Format vor. Siehe Konfigurieren von Bedrohungsfeeds von Drittanbietern.

Gehen Sie wie folgt vor auf Zertifikate > Zertifizierungsstellen basierend auf dem Zertifikat, das der Threat Feed Server verwendet:

• Öffentliches Zertifikat: Überprüfen Sie, ob das CA-Zertifikat in der Webadministrationskonsole verfügbar ist.
• Privates Zertifikat: Laden Sie das CA-Zertifikat in die Webadministrationskonsole hoch.