Comprender la URL de ruta completa para App Control vs Internet Firewall

Las solicitudes HTTP son manejadas de manera diferente por el motor de Firewall que se utiliza para la política de Internet Firewall y el motor de App Control que se usa para la política de Control de Aplicación. La plataforma Cato incluye múltiples motores de seguridad que analizan y procesan simultáneamente los flujos de tráfico, y puede ser difícil entender cómo se extraen y registran los datos, como la URL de ruta completa, de un flujo específico en un evento.

Para obtener más información sobre los motores de seguridad de Cato, consulte Understanding Packet Flow with Cato SPACE Architecture.

El URL es un atributo que a menudo cambia con cada solicitud HTTP dentro de un flujo de tráfico. Los motores de firewall están diseñados para equilibrar seguridad y rendimiento y no inspeccionan cada solicitud HTTP que ocurre dentro de un flujo. Esto significa que los datos de la URL de ruta completa para eventos de firewall de Internet pueden ser engañosos. El PoP hace su mejor esfuerzo para enriquecer los eventos con datos adicionales, y es posible que los eventos del Firewall de Internet contengan los datos de URL de ruta completa.

Por otro lado, el motor de App Control examina cada solicitud HTTP con una sesión y registra los datos de URL de ruta completa. Para los clientes que están usando el servicio CASB, los eventos de tráfico de App Security contendrán los datos de URL de ruta completa para las aplicaciones en la nube relevantes, porque el motor de App Control extrajo esos datos.

La principal diferencia entre el motor de App Control y el motor de Firewall es la frecuencia con la que se inspeccionan las solicitudes HTTP:

Práctica recomendada: Si desea registrar consistentemente los datos de URL de ruta completa en eventos, use la política de Control de Aplicaciones para registrar eventos para el tráfico relevante con los siguientes ajustes: