Compreendendo a URL Completo para Controle de Aplicativo vs Firewall da Internet

As solicitações HTTP são tratadas de maneira diferente pelo motor de Firewall, utilizado para a política de firewall da Internet, e pelo motor de Controle de Aplicativo, utilizado para a política de Controle de Aplicativo. A plataforma Cato inclui múltiplos motores de segurança que simultaneamente analisam e processam fluxos de tráfego, e pode ser difícil entender como os dados, como a URL Completo, são extraídos de um fluxo específico e registrados em um evento.

Para mais informações sobre os motores de segurança Cato, veja Understanding Packet Flow with Cato SPACE Architecture.

O URL é um atributo que frequentemente muda com cada solicitação HTTP dentro de um fluxo de tráfego. Motores de firewall são projetados para equilibrar segurança e desempenho e não inspecionam cada solicitação HTTP que ocorre dentro de um fluxo. Isso significa que os dados de URL Completo para eventos de firewall da Internet podem ser enganosos. O PoP faz o melhor esforço para enriquecer eventos com dados adicionais, e é possível que eventos do Firewall da Internet contenham os dados de URL Completo.

Por outro lado, o motor de Controle de Aplicativo examina cada solicitação HTTP com uma sessão e registra os dados de URL Completo. Para clientes que estão usando o serviço CASB, eventos de Tráfego de Segurança do Aplicativo conterão os dados de URL Completo para aplicativos em nuvem relevantes, porque o motor de Controle de Aplicativo extraiu esses dados.

A principal diferença entre o motor de Controle de Aplicativo e o motor de Firewall é a frequência com que as solicitações HTTP são inspecionadas:

Melhor Prática: Se você deseja registrar consistentemente os dados de URL Completo em eventos, use a Política de Controle de Aplicativos para registrar eventos para o tráfego relevante com as seguintes configurações: