問題

インターネット/WANファイアウォール、IPS、RPF、またはアンチマルウェアなどの複数のCMAイベントが、同じトラフィックフローに対して生成されます。 同じトラフィックに対する複数のイベントがあると、Cato Cloudでの許可またはブロックされたアクションをトラブルシューティングする際に混乱を招く可能性があります。

トラブルシューティング

この動作は、さまざまなタイプのCMAイベントで観察される可能性があります。 以下は発生し得るいくつかのシナリオです：

同一イベントアクション

このシナリオでは、トラフィックフローが「ボットネット」としてカテゴリー分けされ、インターネットファイアウォールルールでブロックされたカテゴリーであるため、ファイアウォールエンジンによってブロックされました。 同時に、侵入防御システム (IPS) エンジンもトラフィックをブロックしました。これはウェブサイトのカテゴリに基づいた侵入防御システム (IPS) の署名 "cid_heur_suspicious" と一致します。 

異なるイベントアクション

このシナリオでは、トラフィックフローは地理的制約ポリシーにより最初にIPSエンジンによってブロックされます。 しかし、トラフィック情報を取得するためにクライアントとTLS/HTTP接続が確立され、その結果としてファイアウォールエンジンがトラフィックフローを許可する決定（アクション: モニタ）を行います。 トラフィックは最終的にIPSエンジンによってブロックされ、パケットは宛先IPに到達しません。

説明

Catoによるパケットフローの理解で説明されているように、Cato Cloudには並列で動作する複数のネットワーク機器とセキュリティエンジンが含まれています。 これは、一つのエンジンに他のエンジンよりも優先してトラフィックを評価する権限がないことを意味します。

さらに、ブロック/許可の決定は即座には実行されません。 PoPは特定のリクエスト/応答段階（例：HTTPリクエスト）に達するまで待機し、各エンジンが最終的なブロックまたは許可アクションを実行します。 そのため、同じまたは異なるブロック/許可の結論を持つ複数のイベントがCMAで生成される可能性があります。

さまざまなイベントで異なるアクションが見られる場合、ブロックアクションが許可アクションに優先されます。