Descripción:
Este artículo describe el estado de la nueva etapa de aprendizaje de HMM » Sin confirmar » y » Confirmado » introducido en la versión 6.4, y también menciona cómo superar la situación en la que el parámetro se atasca en » Sin confirmar » y finalmente el recolector de basura lo descarta.
Cuando la detección de anomalías de ML aprende un nuevo parámetro en la versión 6.4, establece el estado de ese nuevo parámetro en ‘ Sin confirmar ‘ inicialmente.
Este artículo describe el estado de la nueva etapa de aprendizaje de HMM » Sin confirmar » y » Confirmado » introducido en la versión 6.4, y también menciona cómo superar la situación en la que el parámetro se atasca en » Sin confirmar » y finalmente el recolector de basura lo descarta.
Alcance
Para la versión 6.4.
Solución
Explicación.
Cuando la detección de anomalías de ML aprende un nuevo parámetro en la versión 6.4, establece el estado de ese nuevo parámetro en ‘ Sin confirmar ‘ inicialmente.
El estado cambiará a ‘ Confirmado ‘ y luego a ‘Recopilación’ cuando ML reciba solicitudes HTTP que contengan el parámetro/argumento de un número mínimo de 3 (ip-expire-cnts) direcciones IP de origen diferentes dentro del período de tiempo dado de 4 horas ( ip-expire-intval).Si no se reciben solicitudes HTTP que contengan el parámetro aprendido, en este ejemplo, ‘ correo electrónico ‘, de 3 direcciones IP diferentes dentro de 4 horas, el estado del parámetro permanecerá ‘ Sin confirmar ‘ y el recolector de basura lo descartará.
Se genera un registro de eventos ‘ Parámetro eliminado debido a que no se confirmó durante demasiado tiempo para el parámetro <enviar> de la URL </>. El modelo de parámetro cambió de En ejecución a Descartado por el demonio FortiWeb ‘.Escenario del caso problemático y solución.Si el FortiWeb se coloca en un entorno aislado donde está aprendiendo solicitudes HTTP destinadas al servicio web protegido a través de la política del servidor (donde la Detección de anomalías de aprendizaje automático está activada) menos de 3 direcciones IP de origen diferentes, entonces es necesario disminuir el ‘ ip-expire-cnts ‘ a un valor más bajo, digamos ‘ 1 ‘.Denzil-ML-64 # config waf machine-learning-policy
Denzil-ML-64 (machine-learning~g) editar 1
Denzil-ML-64 (1) establecer ip-expire-cnts 1
Denzil-ML-64 (1) finEl estado cambiará a ‘ Confirmado ‘ y luego a ‘Recopilando’ inmediatamente tan pronto como ML vea una solicitud HTTP con ese parámetro.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!