DotW: configurando Wildfire

DotW: configurando Wildfire

0
Created On 09/25/18 19:03 PM - Last Modified 07/19/22 23:10 PM


Resolution


Cuando configuing Wildfire, a veces es difícil saber qué opciones configurar, ya que Wildfire ofrece una serie de opciones configurables que incluyen tipos de archivos admitidos, así como varias acciones para estos archivos.


El usuario jprovine recientemente ha preguntado cómo configurar mejor WildFire en el foro de discusión. Varios miembros de la comunidad respondieron, incluyendo nuestro propio Ingeniero de soluciones, Tom (Reaper):

 

DOTW 2016-03 -28_1. png
https://live.paloaltonetworks.com/t5/General-Topics/Wildfire/m-p/75058#U75058

 

La pregunta sobre la configuración de incendios forestales puede ser confusa a veces. Voy a tratar de desglosar las opciones para dar sentido a todo y le permiten hacer un decisión informado acerca de cómo configurar incendios forestales.

 

Las principales opciones en WildFire son:


Tipos de archivos admitidos:

  • Archivos PE (EXE, DLL y otros)
  • Todos los tipos de archivos de Microsoft ® Office ®
  • Archivos de formato de documento portable (PDF)
  • Applets Java ® (jar y Class)
  • Paquetes de aplicaciones para Android ® (APK)
  • Adobe ® Flash ® applets (SWF y SWC)
  • y páginas web

Qué hacer con los archivos:

  • alerta de
  • bloque
  • continuar
  • hacia adelante
  • continuar y avanzar

Pasos

  1. Todo esto comienza con una política de bloqueo de archivos, que se encuentra en el WedGUI dentro de los
    objetos > perfiles de seguridad > bloqueo de archivos.
    Por dentro, necesita tener un perfil para usar. La mayoría sólo se leerá, comenzará con cualquier perfil y usará la opción ' clon '.
    DOTW 2016-03 -28_2. png
  2. Después de clonar el perfil de bloqueo de archivos, haga clic en el nombre. Para este ejemplo, hicimos clic en ' Best-Practice-1 '.  Usted verá todas las opciones para el bloqueo de archivos. Aquí dentro, verá las reglas de bloqueo de archivos, donde puede seleccionar ciertos tipos de archivo, aplicaciones, dirección y la acción a tomar. Esto le permite ser muy granular en la política de bloqueo de archivos.

    De nuevo, WildFire soporta archivos PE, tipos de archivos de Microsoft ® Office ®, archivos PDF, JAR, CLASS, APK, SWF, SWC y páginas Web. Puede elegir seleccionar una o todas las aplicaciones. Si todo está seleccionado para el tipo de archivo, sólo los tipos de archivo admitidos se cargarán en Wildfire para su análisis. 
    DOTW 2016-03 -28_3a. pngLas acciones que tendrá son:
    -alerta
    -bloquear
    -continuar
    -adelante


    -continuar y reenviar
  3. La opción ' Forward ' en fileblocking es una opción ' permitir y registrar ' en la parte de bloqueo de archivos y una opción de avance en la parte de WildFire. El archivo está permitido pasar, y mientras pasa por el firewall, recoge todos los paquetes que componen el archivo, y una vez completado, envía a Wildfire para su análisis. Tiene que ser subido a Wildfire para análisis. Si se encuentra que el archivo cargado es malicioso, se crea una nueva firma para ese archivo y el Firewall recibirá actualizaciones el mismo día (suscripción pagada) o en una actualización diaria (versión libre), en forma de una firma Av.

    Cuando se selecciona ' Block ' como acción, el fileblocking iniciará y detendrá cualquier archivo que coincida con la Directiva, pero el archivo ya no se reenviará a Wildfire (como se ha bloqueado). Si la política de seguridad de la empresa establece que se bloqueen archivos de determinados tipos, se desea utilizar esta opción.

    Las otras opciones que usted tiene que usualmente no se eligen cuando se trata con Wildfire son:
    • Alert — se agrega una entrada al registro de amenazas. No se realizan otras acciones forestales.
    • continuar : un mensaje al usuario indica que se ha solicitado una descarga y pide al usuario que confirme si desea continuar. El propósito es advertir al usuario de una posible descarga desconocida (también conocida como un Drive-by-Download) y dar al usuario la opción de continuar o detener la descarga.
    • continuar y avanzar : se presenta una página continua y el archivo se envía a Wildfire (combina las acciones continue y forward). Esta acción sólo funciona con tráfico basado en Web. Esto se debe al hecho de que un usuario debe hacer clic en continuar antes de que el archivo se remita y la opción continuar la página de respuesta sólo está disponible con http/https.

    Nota: cuando crea un perfil de bloqueo de archivos con la acción continuar o continuar y avanzar (utilizado para el reenvío de incendios forestales), sólo puede elegir la exploración Web de la aplicación. Si elige cualquier otra aplicación, el tráfico que coincida con la Directiva de seguridad no fluirá a través del cortafuegos debido al hecho de que los usuarios no serán incitados con una página de continuar.

  4. El último paso es asegurarse de que esta directiva de bloqueo de archivos se utilice en una directiva de seguridad y comprometerse a hacerla activa.

 

Depende de usted determinar qué es lo mejor para la política de seguridad de su empresa, qué archivos desea reenviar y qué archivos debe bloquear.

 

Espero que esto explique más sobre el bloqueo de archivos y los incendios forestales.

 

Véase también

 

Para más información sobre WildFire, por favor vea este video tutorial:
video tutorial: ¿Qué es

Wildfire?

Para obtener más información sobre cómo configurar el bloqueo de archivos:
sugerencias del campo:

Perfil de bloqueo de archivos

Mantente seguro,
Joe Delio

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClTYCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail