簡易セキュリティレポート(Quick View Security Reports)内のポートスキャンレポートにデータが表示されない
対象
ビルド12.3.318以降
ベンダー:Palo Alto
概要
[レポート]→[カスタムレポート]で作成可能な、簡易セキュリティレポート(Quick View Security Reports)において、
ポートスキャンレポート内にデータが表示されない事象が報告されております。
なお、ポートスキャンレポートに表示されるデータにつきましては、以下の内容に該当するログが対象になります。
- syslog内に"threat"フィールドが存在していること
- "threat"のタイプとして、"vulnerabililty"に該当すること
- syslog内のいずれかのフィールドに、"port scan","port scanning","scanning ports","masscan port","masscan port scanning"などのポートスキャンに関連するメッセージ(ポート番号含め)が存在すること
本ナレッジでは、本事象の修正手順について記載します。
本事象は、ビルド「12.4.104」以降で改修されています。
アップグレード手順については、こちらのページをご参照ください。
修正手順
以下の手順を実施してください。
- こちらより、修正用のファイルをダウンロード
- 解凍後、以下の2ファイルが含まれていることを確認
・PORTSCAN_FIX.fjar
・framework-tools.jar - Firewall Analyzerを停止
- インストールフォルダー[.../OpManager/]配下に「fixes」フォルダーを作成
- 手順1で入手した「PORTSCAN_FIX.fjar」ファイルを、手順4で作成した「fixes」フォルダー配下に配置
- インストールフォルダー[.../OpManager/lib]配下の既存の「framework-tools.jar」ファイルをデスクトップ等にコピー退避し、
手順1で入手した「framework-tools.jar」ファイルを配置 - Firewall Analyzerを起動
上記手順を実施以降、Firewall Analyzerで新規に受信するポートスキャンログが
ポートスキャンレポート上に表示されるか、ご確認ください。