Wildfire Configuración, pruebas y monitoreo

Wildfire Configuración, pruebas y monitoreo

101419
Created On 09/25/18 19:36 PM - Last Modified 08/13/21 21:40 PM


Symptom


WildFire es un servicio basado en la nube que se integra con el Palo Alto Firewall y proporciona detección y prevención de malware.

Environment


  • PANOS 8.1 y superior
  • WildFire

Resolution


WildFire es un servicio basado en la nube que se integra con el Palo Alto Firewall y proporciona detección y prevención de malware.

 

PAN-OS 7.0 +

A partir de PAN-OS 7.0, WildFire se configura como perfil de WildFire análisis y, a continuación, se puede aplicar a una seguridad que coincida con el tráfico que necesita policy ser analizado.

Imagen de usuario añadido

 

En una seguridad policy : Regla de seguridad con
Imagen de usuario añadido
Policy WildFire configurado.
 

Asegúrese de que la seguridad policy es más estricta para verificar si la aplicación paloalto- wildfire -cloud se permitirá salir de la interfaz de administración a Internet. Es posible que la aplicación deba agregarse al servicio existente policy que contiene paloalto-actualizaciones y dichos servicios, o es necesario agregar una ruta de servicio adicional para enlazar wildfire -cloud a la interfaz externa

 

2015-09 -21 _21-06 -14. png

 

El WildFire análisis simplemente se puede configurar para enviar a la nube pública, o si un WF-500 dispositivo está disponible, a la nube privada

 

A el tipo de archivo determinado en la WildFire configuración coincide con la WildFire nube.

Los firewalls de Palo Alto Networks calculan el hash del archivo y envían solo el hash calculado a la WildFire nube; en la nube el hash se compara con el hash en el firewall . Si el hash no coincide, se carga e inspecciona y los detalles del archivo se pueden ver en el WildFire portal (https:// wildfire .paloaltonetworks.com/). Consulte la Guía de administración para encontrar las direcciones URL de las otras nubes regionales.

A el archivo también se puede cargar manualmente en el WildFire portal para su análisis.

 

WildFire Pruebas/Monitoreo:

Con el fin de garantizar que el puerto de administración es capaz de comunicarse con el WildFire podemos utilizar el comando"request wildfire registration"en el CLI .

> request wildfire registration

WildFire registration for Public Cloud is triggered
WildFire registration for Private Cloud is triggered
 

 

Los siguientes comandos también se pueden utilizar para verificar WildFire el funcionamiento:

> show wildfire status 

Connection info: 
  Signature verification:        enable
  Server selection:              enable
  File cache:                    enable

WildFire Public Cloud:
  Server address:                wildfire.paloaltonetworks.com
  Status:                        Idle
  Best server:                   eu-west-1.wildfire.paloaltonetworks.com
  Device registered:             yes
  Through a proxy:               no
  Valid wildfire license:        yes
  Service route IP address:     

File size limit info: 
  pe                                           2 MB
  apk                                         10 MB
  pdf                                        200 KB
  ms-office                                  500 KB
  jar                                          1 MB
  flash                                        5 MB

... cut for brevity
> show wildfire statistics

Packet based counters:
        Total msg rcvd:                           1310
        Total bytes rcvd:                      1424965
        Total msg read:                           1310
        Total bytes read:                      1393525

... cut for brevity
> show wildfire cloud-info

Public Cloud channel info: 
  Cloud server type:             wildfire cloud
  Supported file types:         
                                 jar
                                 flash
                                 ms-office
                                 pe
                                 pdf
                                 apk
                                 email-link
 

 

Los WildFire registros de envíos proporcionan detalles después de una WildFire acción:
Imagen de usuario añadido


En caso de que el archivo se haya cargado recientemente, es posible que el WildFire análisis aún no se haya completado, en cuyo caso el informe aún no estará disponible:
Imagen de usuario añadido

                             
wildfire-upload.log muestra detalles sobre los envíos de archivos. El registro se puede supervisar de la CLI siguiente manera.

> grep mp-log wildfire-upload.log pattern wildfire-test-pe
2021-08-02 12:04:48 +0900:     wildfire-test-pe-file.exe    pe    cancelled - by DP    PUB    122    1    55296    0x4034    allow
2021-08-02 12:06:35 +0900:     wildfire-test-pe-file.exe    pe    upload success    PUB    125    2    55296    0x801c    allow
2021-08-02 12:10:30 +0900:     wildfire-test-pe-file.exe    pe    skipped - remote malware dup    PUB    128    3    1428    0x1040    allow


> tail follow yes mp-log wildfire-upload.log
Data and Time    filename    file type    action    channel    session_id    transaction_id    file_len    flag    traffic_action

2021-08-02 12:04:48 +0900:     wildfire-test-pe-file.exe    pe    cancelled - by DP    PUB    122    1    55296    0x4034    allow
2021-08-02 12:06:35 +0900:     wildfire-test-pe-file.exe    pe    upload success    PUB    125    2    55296    0x801c    allow
2021-08-02 12:10:30 +0900:     wildfire-test-pe-file.exe    pe    skipped - remote malware dup    PUB    128    3    1428    0x1040    allow

  

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClaHCAS&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language