Wildfire Konfiguration, Testen und Überwachen
Symptom
WildFire ist ein Cloud-basierter Dienst, der in palo Alto integriert Firewall ist und die Erkennung und Prävention von Malware ermöglicht.
Environment
- PANOS 8.1 und höher
- WildFire
Resolution
WildFire ist ein Cloud-basierter Dienst, der in palo Alto integriert Firewall ist und die Erkennung und Prävention von Malware ermöglicht.
PAN-OS 7.0 +
Ab PAN-OS 7.0 WildFire wird als WildFire Analyseprofil konfiguriert und kann dann auf eine Sicherheit angewendet werden, policy die dem zu analysierenden Datenverkehr entspricht.
In einer policy Sicherheit:
Stellen Sie sicher, dass die Sicherheit policy strenger ist, um zu überprüfen, ob die Anwendung paloalto--cloud wildfire von der Verwaltungsschnittstelle ins Internet austreten darf. Möglicherweise muss die Anwendung dem vorhandenen Dienst hinzugefügt werden, der policy Paloalto-Updates und solche Dienste enthält, oder es muss eine zusätzliche Serviceroute hinzugefügt werden, um wildfire -cloud an die externe Schnittstelle zu binden.
Die WildFire Analyse kann einfach so eingestellt werden, dass sie an die Public-Cloud oder, wenn eine Appliance verfügbar WF-500 ist, an die Private-Cloud gesendet wird.
A Der in der Konfiguration ermittelte Dateityp WildFire wird von der Cloud abgeglichen. WildFire
Palo Alto Networks Firewalls berechnen den Hash der Datei und senden nur den berechneten Hash an die WildFire Cloud; in der Cloud wird der Hash mit dem Hash auf der firewall verglichen. Wenn der Hash nicht übereinstimmt, wird er hochgeladen und überprüft und die Dateidetails können im Portal angezeigt werden WildFire (https:// wildfire .paloaltonetworks.com/). Die URLs der anderen regionalen Clouds finden Sie im Administrationshandbuch.
A Datei kann auch manuell zur Analyse in das Portal hochgeladen WildFire werden.
WildFire Testen/Überwachen:
Um sicherzustellen, dass der Management-Port in der Lage ist, mit dem zu kommunizieren, WildFire können wir den Befehl " request wildfire registration" in der CLI .
> request wildfire registration
WildFire registration for Public Cloud is triggered
WildFire registration for Private Cloud is triggered
Die folgenden Befehle können auch verwendet werden, um den Betrieb zu WildFire überprüfen:
> show wildfire status Connection info: Signature verification: enable Server selection: enable File cache: enable WildFire Public Cloud: Server address: wildfire.paloaltonetworks.com Status: Idle Best server: eu-west-1.wildfire.paloaltonetworks.com Device registered: yes Through a proxy: no Valid wildfire license: yes Service route IP address: File size limit info: pe 2 MB apk 10 MB pdf 200 KB ms-office 500 KB jar 1 MB flash 5 MB ... cut for brevity > show wildfire statistics Packet based counters: Total msg rcvd: 1310 Total bytes rcvd: 1424965 Total msg read: 1310 Total bytes read: 1393525 ... cut for brevity > show wildfire cloud-info Public Cloud channel info: Cloud server type: wildfire cloud Supported file types: jar flash ms-office pe pdf apk email-link
Die WildFire Übermittlungsprotokolle enthalten Details nach einer WildFire Aktion:
Falls die Datei kürzlich hochgeladen wurde, ist die WildFire Analyse möglicherweise noch nicht abgeschlossen, in diesem Fall ist der Bericht noch nicht verfügbar:
wildfire-upload.log zeigt Details zu den Dateieinreichungen an. Das Protokoll kann wie folgt überwacht CLI werden.
> grep mp-log wildfire-upload.log pattern wildfire-test-pe
2021-08-02 12:04:48 +0900: wildfire-test-pe-file.exe pe cancelled - by DP PUB 122 1 55296 0x4034 allow
2021-08-02 12:06:35 +0900: wildfire-test-pe-file.exe pe upload success PUB 125 2 55296 0x801c allow
2021-08-02 12:10:30 +0900: wildfire-test-pe-file.exe pe skipped - remote malware dup PUB 128 3 1428 0x1040 allow
> tail follow yes mp-log wildfire-upload.log
Data and Time filename file type action channel session_id transaction_id file_len flag traffic_action
2021-08-02 12:04:48 +0900: wildfire-test-pe-file.exe pe cancelled - by DP PUB 122 1 55296 0x4034 allow
2021-08-02 12:06:35 +0900: wildfire-test-pe-file.exe pe upload success PUB 125 2 55296 0x801c allow
2021-08-02 12:10:30 +0900: wildfire-test-pe-file.exe pe skipped - remote malware dup PUB 128 3 1428 0x1040 allow