Wildfire Configuración, pruebas y monitoreo
Symptom
WildFire es un servicio basado en la nube que se integra con el Palo Alto Firewall y proporciona detección y prevención de malware.
Environment
- PANOS 8.1 y superior
- WildFire
Resolution
WildFire es un servicio basado en la nube que se integra con el Palo Alto Firewall y proporciona detección y prevención de malware.
PAN-OS 7.0 +
A partir de PAN-OS 7.0, WildFire se configura como perfil de WildFire análisis y, a continuación, se puede aplicar a una seguridad que coincida con el tráfico que necesita policy ser analizado.
En una seguridad policy : Regla de seguridad con
Asegúrese de que la seguridad policy es más estricta para verificar si la aplicación paloalto- wildfire -cloud se permitirá salir de la interfaz de administración a Internet. Es posible que la aplicación deba agregarse al servicio existente policy que contiene paloalto-actualizaciones y dichos servicios, o es necesario agregar una ruta de servicio adicional para enlazar wildfire -cloud a la interfaz externa
El WildFire análisis simplemente se puede configurar para enviar a la nube pública, o si un WF-500 dispositivo está disponible, a la nube privada
A el tipo de archivo determinado en la WildFire configuración coincide con la WildFire nube.
Los firewalls de Palo Alto Networks calculan el hash del archivo y envían solo el hash calculado a la WildFire nube; en la nube el hash se compara con el hash en el firewall . Si el hash no coincide, se carga e inspecciona y los detalles del archivo se pueden ver en el WildFire portal (https:// wildfire .paloaltonetworks.com/). Consulte la Guía de administración para encontrar las direcciones URL de las otras nubes regionales.
A el archivo también se puede cargar manualmente en el WildFire portal para su análisis.
WildFire Pruebas/Monitoreo:
Con el fin de garantizar que el puerto de administración es capaz de comunicarse con el WildFire podemos utilizar el comando"request wildfire registration"en el CLI .
> request wildfire registration
WildFire registration for Public Cloud is triggered
WildFire registration for Private Cloud is triggered
Los siguientes comandos también se pueden utilizar para verificar WildFire el funcionamiento:
> show wildfire status Connection info: Signature verification: enable Server selection: enable File cache: enable WildFire Public Cloud: Server address: wildfire.paloaltonetworks.com Status: Idle Best server: eu-west-1.wildfire.paloaltonetworks.com Device registered: yes Through a proxy: no Valid wildfire license: yes Service route IP address: File size limit info: pe 2 MB apk 10 MB pdf 200 KB ms-office 500 KB jar 1 MB flash 5 MB ... cut for brevity > show wildfire statistics Packet based counters: Total msg rcvd: 1310 Total bytes rcvd: 1424965 Total msg read: 1310 Total bytes read: 1393525 ... cut for brevity > show wildfire cloud-info Public Cloud channel info: Cloud server type: wildfire cloud Supported file types: jar flash ms-office pe pdf apk email-link
Los WildFire registros de envíos proporcionan detalles después de una WildFire acción:
En caso de que el archivo se haya cargado recientemente, es posible que el WildFire análisis aún no se haya completado, en cuyo caso el informe aún no estará disponible:
wildfire-upload.log muestra detalles sobre los envíos de archivos. El registro se puede supervisar de la CLI siguiente manera.
> grep mp-log wildfire-upload.log pattern wildfire-test-pe
2021-08-02 12:04:48 +0900: wildfire-test-pe-file.exe pe cancelled - by DP PUB 122 1 55296 0x4034 allow
2021-08-02 12:06:35 +0900: wildfire-test-pe-file.exe pe upload success PUB 125 2 55296 0x801c allow
2021-08-02 12:10:30 +0900: wildfire-test-pe-file.exe pe skipped - remote malware dup PUB 128 3 1428 0x1040 allow
> tail follow yes mp-log wildfire-upload.log
Data and Time filename file type action channel session_id transaction_id file_len flag traffic_action
2021-08-02 12:04:48 +0900: wildfire-test-pe-file.exe pe cancelled - by DP PUB 122 1 55296 0x4034 allow
2021-08-02 12:06:35 +0900: wildfire-test-pe-file.exe pe upload success PUB 125 2 55296 0x801c allow
2021-08-02 12:10:30 +0900: wildfire-test-pe-file.exe pe skipped - remote malware dup PUB 128 3 1428 0x1040 allow