Wildfire Konfiguration, Testen und Überwachen

Wildfire Konfiguration, Testen und Überwachen

101435
Created On 09/25/18 19:36 PM - Last Modified 08/23/21 18:02 PM


Symptom


WildFire ist ein Cloud-basierter Dienst, der in palo Alto integriert Firewall ist und die Erkennung und Prävention von Malware ermöglicht.

Environment


  • PANOS 8.1 und höher
  • WildFire

Resolution


WildFire ist ein Cloud-basierter Dienst, der in palo Alto integriert Firewall ist und die Erkennung und Prävention von Malware ermöglicht.

 

PAN-OS 7.0 +

Ab PAN-OS 7.0 WildFire wird als WildFire Analyseprofil konfiguriert und kann dann auf eine Sicherheit angewendet werden, policy die dem zu analysierenden Datenverkehr entspricht.

Benutzeriertes Bild

 

In einer policy Sicherheit:
Benutzeriertes Bild
Policy Sicherheitsregel mit WildFire konfiguriert.
 

Stellen Sie sicher, dass die Sicherheit policy strenger ist, um zu überprüfen, ob die Anwendung paloalto--cloud wildfire von der Verwaltungsschnittstelle ins Internet austreten darf. Möglicherweise muss die Anwendung dem vorhandenen Dienst hinzugefügt werden, der policy Paloalto-Updates und solche Dienste enthält, oder es muss eine zusätzliche Serviceroute hinzugefügt werden, um wildfire -cloud an die externe Schnittstelle zu binden.

 

2015-09 -21 _21-06 -14. png

 

Die WildFire Analyse kann einfach so eingestellt werden, dass sie an die Public-Cloud oder, wenn eine Appliance verfügbar WF-500 ist, an die Private-Cloud gesendet wird.

 

A Der in der Konfiguration ermittelte Dateityp WildFire wird von der Cloud abgeglichen. WildFire

Palo Alto Networks Firewalls berechnen den Hash der Datei und senden nur den berechneten Hash an die WildFire Cloud; in der Cloud wird der Hash mit dem Hash auf der firewall verglichen. Wenn der Hash nicht übereinstimmt, wird er hochgeladen und überprüft und die Dateidetails können im Portal angezeigt werden WildFire (https:// wildfire .paloaltonetworks.com/). Die URLs der anderen regionalen Clouds finden Sie im Administrationshandbuch.

A Datei kann auch manuell zur Analyse in das Portal hochgeladen WildFire werden.

 

WildFire Testen/Überwachen:

Um sicherzustellen, dass der Management-Port in der Lage ist, mit dem zu kommunizieren, WildFire können wir den Befehl " request wildfire registration" in der CLI .

> request wildfire registration

WildFire registration for Public Cloud is triggered
WildFire registration for Private Cloud is triggered
 

 

Die folgenden Befehle können auch verwendet werden, um den Betrieb zu WildFire überprüfen:

> show wildfire status 

Connection info: 
  Signature verification:        enable
  Server selection:              enable
  File cache:                    enable

WildFire Public Cloud:
  Server address:                wildfire.paloaltonetworks.com
  Status:                        Idle
  Best server:                   eu-west-1.wildfire.paloaltonetworks.com
  Device registered:             yes
  Through a proxy:               no
  Valid wildfire license:        yes
  Service route IP address:     

File size limit info: 
  pe                                           2 MB
  apk                                         10 MB
  pdf                                        200 KB
  ms-office                                  500 KB
  jar                                          1 MB
  flash                                        5 MB

... cut for brevity
> show wildfire statistics

Packet based counters:
        Total msg rcvd:                           1310
        Total bytes rcvd:                      1424965
        Total msg read:                           1310
        Total bytes read:                      1393525

... cut for brevity
> show wildfire cloud-info

Public Cloud channel info: 
  Cloud server type:             wildfire cloud
  Supported file types:         
                                 jar
                                 flash
                                 ms-office
                                 pe
                                 pdf
                                 apk
                                 email-link
 

 

Die WildFire Übermittlungsprotokolle enthalten Details nach einer WildFire Aktion:
Benutzeriertes Bild


Falls die Datei kürzlich hochgeladen wurde, ist die WildFire Analyse möglicherweise noch nicht abgeschlossen, in diesem Fall ist der Bericht noch nicht verfügbar:
Benutzeriertes Bild

                             
wildfire-upload.log zeigt Details zu den Dateieinreichungen an. Das Protokoll kann wie folgt überwacht CLI werden.

> grep mp-log wildfire-upload.log pattern wildfire-test-pe
2021-08-02 12:04:48 +0900:     wildfire-test-pe-file.exe    pe    cancelled - by DP    PUB    122    1    55296    0x4034    allow
2021-08-02 12:06:35 +0900:     wildfire-test-pe-file.exe    pe    upload success    PUB    125    2    55296    0x801c    allow
2021-08-02 12:10:30 +0900:     wildfire-test-pe-file.exe    pe    skipped - remote malware dup    PUB    128    3    1428    0x1040    allow


> tail follow yes mp-log wildfire-upload.log
Data and Time    filename    file type    action    channel    session_id    transaction_id    file_len    flag    traffic_action

2021-08-02 12:04:48 +0900:     wildfire-test-pe-file.exe    pe    cancelled - by DP    PUB    122    1    55296    0x4034    allow
2021-08-02 12:06:35 +0900:     wildfire-test-pe-file.exe    pe    upload success    PUB    125    2    55296    0x801c    allow
2021-08-02 12:10:30 +0900:     wildfire-test-pe-file.exe    pe    skipped - remote malware dup    PUB    128    3    1428    0x1040    allow

  

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClaHCAS&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language