Firewall Analyzer ナレッジベース

簡易セキュリティレポート(Quick View Security Reports)内のポートスキャンレポートにデータが表示されない


対象

ビルド12.3.318以降
ベンダー:Palo Alto

概要

[レポート]→[カスタムレポート]で作成可能な、簡易セキュリティレポート(Quick View Security Reports)において、
ポートスキャンレポート内にデータが表示されない事象が報告されております。

なお、ポートスキャンレポートに表示されるデータにつきましては、以下の内容に該当するログが対象になります。

  • syslog内に"threat"フィールドが存在していること
  • "threat"のタイプとして、"vulnerabililty"に該当すること
  • syslog内のいずれかのフィールドに、"port scan","port scanning","scanning ports","masscan port","masscan port scanning"などのポートスキャンに関連するメッセージ(ポート番号含め)が存在すること

本ナレッジでは、本事象の修正手順について記載します。

本事象は、ビルド「12.4.104」以降で改修されています。
アップグレード手順については、こちらのページをご参照ください。

修正手順

以下の手順を実施してください。

  1. こちらより、修正用のファイルをダウンロード
  2. 解凍後、以下の2ファイルが含まれていることを確認
    ・PORTSCAN_FIX.fjar
    ・framework-tools.jar
  3. Firewall Analyzerを停止
  4. インストールフォルダー[.../OpManager/]配下に「fixes」フォルダーを作成
  5. 手順1で入手した「PORTSCAN_FIX.fjar」ファイルを、手順4で作成した「fixes」フォルダー配下に配置
  6. インストールフォルダー[.../OpManager/lib]配下の既存の「framework-tools.jar」ファイルをデスクトップ等にコピー退避し、
    手順1で入手した「framework-tools.jar」ファイルを配置
  7. Firewall Analyzerを起動

上記手順を実施以降、Firewall Analyzerで新規に受信するポートスキャンログが
ポートスキャンレポート上に表示されるか、ご確認ください。