Wildfire 構成、テスト、および監視

WildFire は、パロアルトと統合 Firewall し、マルウェアの検出と防止を提供するクラウドベースのサービスです。

PAN-OS 7.0 +

PAN-OS7.0 以降 WildFire はWildFire分析プロファイルとして設定され、分析する policy 必要があるトラフィックに一致するセキュリティに適用できます。

セキュリティ : policy

Policy セキュリティルールを WildFire 設定します。
 

policyアプリケーション paloalto--cloud が wildfire 管理インターフェイスからインターネットへの送信を許可されるかどうかを確認するために、セキュリティがより厳しいかどうかを確認してください。 policyアプリケーションは、paloalto-更新プログラムやそのようなサービスを含む既存のサービスに追加する必要があるか、または外部インターフェイスにクラウドをバインドするために追加のサービスルートを追加する必要があります wildfire

WildFire分析は、パブリッククラウドに送信するように設定することも、 WF-500 アプライアンスが利用可能な場合はプライベートクラウドに送信することもできます。

A 構成で決定されたファイルタイプ WildFire は、クラウドと一致します WildFire 。

パロアルトネットワークスファイアウォールは、ファイルのハッシュを計算し、計算されたハッシュのみをクラウドに送信します WildFire 。 firewall ハッシュが一致しない場合は、ハッシュがアップロードされて検査され、ファイルの詳細を WildFire ポータル ( https:// wildfire .paloaltonetworks.com/) で表示できます。 他の地域クラウドの URL については、 管理ガイド を参照してください。

A また、分析のためにポータルに手動でアップロードすることもできます WildFire 。

WildFire テスト/モニタリング:

管理ポートと通信できるようにするために、 の WildFire "要求 wildfire 登録" コマンドを使用できます CLI 。

> request wildfire registration

WildFire registration for Public Cloud is triggered
WildFire registration for Private Cloud is triggered

以下のコマンドは、操作の検証にも使用できます WildFire 。

> show wildfire status 

Connection info: 
  Signature verification:        enable
  Server selection:              enable
  File cache:                    enable

WildFire Public Cloud:
  Server address:                wildfire.paloaltonetworks.com
  Status:                        Idle
  Best server:                   eu-west-1.wildfire.paloaltonetworks.com
  Device registered:             yes
  Through a proxy:               no
  Valid wildfire license:        yes
  Service route IP address:     

File size limit info: 
  pe                                           2 MB
  apk                                         10 MB
  pdf                                        200 KB
  ms-office                                  500 KB
  jar                                          1 MB
  flash                                        5 MB

... cut for brevity
> show wildfire statistics

Packet based counters:
        Total msg rcvd:                           1310
        Total bytes rcvd:                      1424965
        Total msg read:                           1310
        Total bytes read:                      1393525

... cut for brevity
> show wildfire cloud-info

Public Cloud channel info: 
  Cloud server type:             wildfire cloud
  Supported file types:         
                                 jar
                                 flash
                                 ms-office
                                 pe
                                 pdf
                                 apk
                                 email-link

WildFireサブミッションログには、アクションの投稿の詳細が示 WildFire されます。

ファイルが最近アップロードされた場合、 WildFire 分析がまだ完了していない可能性があり、その場合はレポートはまだ利用できません。

                             
wildfire-upload.logは、ファイルの送信に関する詳細を表示します。 ログは CLI 次のように監視できます。

> grep mp-log wildfire-upload.log pattern wildfire-test-pe
2021-08-02 12:04:48 +0900:     wildfire-test-pe-file.exe    pe    cancelled - by DP    PUB    122    1    55296    0x4034    allow
2021-08-02 12:06:35 +0900:     wildfire-test-pe-file.exe    pe    upload success    PUB    125    2    55296    0x801c    allow
2021-08-02 12:10:30 +0900:     wildfire-test-pe-file.exe    pe    skipped - remote malware dup    PUB    128    3    1428    0x1040    allow


> tail follow yes mp-log wildfire-upload.log
Data and Time    filename    file type    action    channel    session_id    transaction_id    file_len    flag    traffic_action

2021-08-02 12:04:48 +0900:     wildfire-test-pe-file.exe    pe    cancelled - by DP    PUB    122    1    55296    0x4034    allow
2021-08-02 12:06:35 +0900:     wildfire-test-pe-file.exe    pe    upload success    PUB    125    2    55296    0x801c    allow
2021-08-02 12:10:30 +0900:     wildfire-test-pe-file.exe    pe    skipped - remote malware dup    PUB    128    3    1428    0x1040    allow