Wildfire Configuration, test et surveillance

Wildfire Configuration, test et surveillance

101423
Created On 09/25/18 19:36 PM - Last Modified 08/23/21 18:02 PM


Symptom


WildFire est un service basé sur le cloud qui s’intègre avec le Palo Alto et Firewall fournit la détection et la prévention des logiciels malveillants.

Environment


  • PANOS 8,1 et plus
  • WildFire

Resolution


WildFire est un service basé sur le cloud qui s’intègre avec le Palo Alto et Firewall fournit la détection et la prévention des logiciels malveillants.

 

PAN-OS 7.0 +

À partir PAN-OS de 7.0, WildFire est configuré comme un WildFire profil d’analyse et peut ensuite être appliqué à une policy sécurité qui correspond au trafic qui doit être analysé.

Image ajoutée par l'utilisateur

 

Dans une règle policy de sécurité : Règle de sécurité avec
Image ajoutée par l'utilisateur
Policy WildFire configuré.
 

S’il vous plaît policy assurez-vous si la sécurité est plus stricte pour vérifier si l’application paloalto- wildfire -cloud sera autorisé à l’extérieur de l’interface de gestion à l’Internet. L’application peut devoir être ajoutée au service existant policy contenant des mises à jour paloalto et de tels services, ou un itinéraire de service supplémentaire doit être ajouté pour lier wildfire -cloud à l’interface externe

 

2015-09 -21 _21-06 -14. png

 

WildFireL’analyse peut simplement être configurée pour être envoyée au cloud public ou, si une WF-500 appliance est disponible, au cloud privé.

 

A le type de fichier déterminé dans WildFire la configuration est égalé par le WildFire cloud.

Les pare-feu Palo Alto Networks calculent le hachage du fichier et n’envoient que le hachage calculé au WildFire cloud; dans le nuage, le hachage est comparé au hachage sur firewall le . Si le hachage ne correspond pas, il est téléchargé et inspecté et les détails du fichier peuvent être affichés sur le WildFire portail (https:// wildfire .paloaltonetworks.com/). Reportez-vous au Guide d’administration pour trouver les URL des autres clouds régionaux.

A le fichier peut également être téléchargé manuellement sur le portail WildFire pour analyse.

 

WildFire Test/Surveillance :

Afin de s’assurer que le port de gestion est capable de communiquer avec WildFire le, nous pouvons utiliser la commande "request wildfire registration" dans le CLI fichier .

> request wildfire registration

WildFire registration for Public Cloud is triggered
WildFire registration for Private Cloud is triggered
 

 

Les commandes ci-dessous peuvent également être utilisées pour vérifier le WildFire fonctionnement :

> show wildfire status 

Connection info: 
  Signature verification:        enable
  Server selection:              enable
  File cache:                    enable

WildFire Public Cloud:
  Server address:                wildfire.paloaltonetworks.com
  Status:                        Idle
  Best server:                   eu-west-1.wildfire.paloaltonetworks.com
  Device registered:             yes
  Through a proxy:               no
  Valid wildfire license:        yes
  Service route IP address:     

File size limit info: 
  pe                                           2 MB
  apk                                         10 MB
  pdf                                        200 KB
  ms-office                                  500 KB
  jar                                          1 MB
  flash                                        5 MB

... cut for brevity
> show wildfire statistics

Packet based counters:
        Total msg rcvd:                           1310
        Total bytes rcvd:                      1424965
        Total msg read:                           1310
        Total bytes read:                      1393525

... cut for brevity
> show wildfire cloud-info

Public Cloud channel info: 
  Cloud server type:             wildfire cloud
  Supported file types:         
                                 jar
                                 flash
                                 ms-office
                                 pe
                                 pdf
                                 apk
                                 email-link
 

 

Les WildFire journaux de soumissions fournissent des détails après une WildFire action :
Image ajoutée par l'utilisateur


Si le fichier a été téléchargé récemment, WildFire l’analyse n’est peut-être pas encore terminée, auquel cas le rapport ne sera pas encore disponible :
Image ajoutée par l'utilisateur

                             
wildfire-upload.log affiche des détails sur les soumissions de fichiers. Le journal peut être surveillé sur le CLI comme suit.

> grep mp-log wildfire-upload.log pattern wildfire-test-pe
2021-08-02 12:04:48 +0900:     wildfire-test-pe-file.exe    pe    cancelled - by DP    PUB    122    1    55296    0x4034    allow
2021-08-02 12:06:35 +0900:     wildfire-test-pe-file.exe    pe    upload success    PUB    125    2    55296    0x801c    allow
2021-08-02 12:10:30 +0900:     wildfire-test-pe-file.exe    pe    skipped - remote malware dup    PUB    128    3    1428    0x1040    allow


> tail follow yes mp-log wildfire-upload.log
Data and Time    filename    file type    action    channel    session_id    transaction_id    file_len    flag    traffic_action

2021-08-02 12:04:48 +0900:     wildfire-test-pe-file.exe    pe    cancelled - by DP    PUB    122    1    55296    0x4034    allow
2021-08-02 12:06:35 +0900:     wildfire-test-pe-file.exe    pe    upload success    PUB    125    2    55296    0x801c    allow
2021-08-02 12:10:30 +0900:     wildfire-test-pe-file.exe    pe    skipped - remote malware dup    PUB    128    3    1428    0x1040    allow

  

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClaHCAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language