Wildfire Configuration, test et surveillance
Symptom
WildFire est un service basé sur le cloud qui s’intègre avec le Palo Alto et Firewall fournit la détection et la prévention des logiciels malveillants.
Environment
- PANOS 8,1 et plus
- WildFire
Resolution
WildFire est un service basé sur le cloud qui s’intègre avec le Palo Alto et Firewall fournit la détection et la prévention des logiciels malveillants.
PAN-OS 7.0 +
À partir PAN-OS de 7.0, WildFire est configuré comme un WildFire profil d’analyse et peut ensuite être appliqué à une policy sécurité qui correspond au trafic qui doit être analysé.
Dans une règle policy de sécurité : Règle de sécurité avec
S’il vous plaît policy assurez-vous si la sécurité est plus stricte pour vérifier si l’application paloalto- wildfire -cloud sera autorisé à l’extérieur de l’interface de gestion à l’Internet. L’application peut devoir être ajoutée au service existant policy contenant des mises à jour paloalto et de tels services, ou un itinéraire de service supplémentaire doit être ajouté pour lier wildfire -cloud à l’interface externe
WildFireL’analyse peut simplement être configurée pour être envoyée au cloud public ou, si une WF-500 appliance est disponible, au cloud privé.
A le type de fichier déterminé dans WildFire la configuration est égalé par le WildFire cloud.
Les pare-feu Palo Alto Networks calculent le hachage du fichier et n’envoient que le hachage calculé au WildFire cloud; dans le nuage, le hachage est comparé au hachage sur firewall le . Si le hachage ne correspond pas, il est téléchargé et inspecté et les détails du fichier peuvent être affichés sur le WildFire portail (https:// wildfire .paloaltonetworks.com/). Reportez-vous au Guide d’administration pour trouver les URL des autres clouds régionaux.
A le fichier peut également être téléchargé manuellement sur le portail WildFire pour analyse.
WildFire Test/Surveillance :
Afin de s’assurer que le port de gestion est capable de communiquer avec WildFire le, nous pouvons utiliser la commande "request wildfire registration" dans le CLI fichier .
> request wildfire registration
WildFire registration for Public Cloud is triggered
WildFire registration for Private Cloud is triggered
Les commandes ci-dessous peuvent également être utilisées pour vérifier le WildFire fonctionnement :
> show wildfire status Connection info: Signature verification: enable Server selection: enable File cache: enable WildFire Public Cloud: Server address: wildfire.paloaltonetworks.com Status: Idle Best server: eu-west-1.wildfire.paloaltonetworks.com Device registered: yes Through a proxy: no Valid wildfire license: yes Service route IP address: File size limit info: pe 2 MB apk 10 MB pdf 200 KB ms-office 500 KB jar 1 MB flash 5 MB ... cut for brevity > show wildfire statistics Packet based counters: Total msg rcvd: 1310 Total bytes rcvd: 1424965 Total msg read: 1310 Total bytes read: 1393525 ... cut for brevity > show wildfire cloud-info Public Cloud channel info: Cloud server type: wildfire cloud Supported file types: jar flash ms-office pe pdf apk email-link
Les WildFire journaux de soumissions fournissent des détails après une WildFire action :
Si le fichier a été téléchargé récemment, WildFire l’analyse n’est peut-être pas encore terminée, auquel cas le rapport ne sera pas encore disponible :
wildfire-upload.log affiche des détails sur les soumissions de fichiers. Le journal peut être surveillé sur le CLI comme suit.
> grep mp-log wildfire-upload.log pattern wildfire-test-pe
2021-08-02 12:04:48 +0900: wildfire-test-pe-file.exe pe cancelled - by DP PUB 122 1 55296 0x4034 allow
2021-08-02 12:06:35 +0900: wildfire-test-pe-file.exe pe upload success PUB 125 2 55296 0x801c allow
2021-08-02 12:10:30 +0900: wildfire-test-pe-file.exe pe skipped - remote malware dup PUB 128 3 1428 0x1040 allow
> tail follow yes mp-log wildfire-upload.log
Data and Time filename file type action channel session_id transaction_id file_len flag traffic_action
2021-08-02 12:04:48 +0900: wildfire-test-pe-file.exe pe cancelled - by DP PUB 122 1 55296 0x4034 allow
2021-08-02 12:06:35 +0900: wildfire-test-pe-file.exe pe upload success PUB 125 2 55296 0x801c allow
2021-08-02 12:10:30 +0900: wildfire-test-pe-file.exe pe skipped - remote malware dup PUB 128 3 1428 0x1040 allow