Wildfire 構成、テスト、および監視
Symptom
WildFire は、パロアルトと統合 Firewall し、マルウェアの検出と防止を提供するクラウドベースのサービスです。
Environment
- PANOS 8.1以上
- WildFire
Resolution
WildFire は、パロアルトと統合 Firewall し、マルウェアの検出と防止を提供するクラウドベースのサービスです。
PAN-OS 7.0 +
PAN-OS7.0 以降 WildFire はWildFire分析プロファイルとして設定され、分析する policy 必要があるトラフィックに一致するセキュリティに適用できます。
セキュリティ : policy
policyアプリケーション paloalto--cloud が wildfire 管理インターフェイスからインターネットへの送信を許可されるかどうかを確認するために、セキュリティがより厳しいかどうかを確認してください。 policyアプリケーションは、paloalto-更新プログラムやそのようなサービスを含む既存のサービスに追加する必要があるか、または外部インターフェイスにクラウドをバインドするために追加のサービスルートを追加する必要があります wildfire
WildFire分析は、パブリッククラウドに送信するように設定することも、 WF-500 アプライアンスが利用可能な場合はプライベートクラウドに送信することもできます。
A 構成で決定されたファイルタイプ WildFire は、クラウドと一致します WildFire 。
パロアルトネットワークスファイアウォールは、ファイルのハッシュを計算し、計算されたハッシュのみをクラウドに送信します WildFire 。 firewall ハッシュが一致しない場合は、ハッシュがアップロードされて検査され、ファイルの詳細を WildFire ポータル ( https:// wildfire .paloaltonetworks.com/) で表示できます。 他の地域クラウドの URL については、 管理ガイド を参照してください。
A また、分析のためにポータルに手動でアップロードすることもできます WildFire 。
WildFire テスト/モニタリング:
管理ポートと通信できるようにするために、 の WildFire "要求 wildfire 登録" コマンドを使用できます CLI 。
> request wildfire registration
WildFire registration for Public Cloud is triggered
WildFire registration for Private Cloud is triggered
以下のコマンドは、操作の検証にも使用できます WildFire 。
> show wildfire status Connection info: Signature verification: enable Server selection: enable File cache: enable WildFire Public Cloud: Server address: wildfire.paloaltonetworks.com Status: Idle Best server: eu-west-1.wildfire.paloaltonetworks.com Device registered: yes Through a proxy: no Valid wildfire license: yes Service route IP address: File size limit info: pe 2 MB apk 10 MB pdf 200 KB ms-office 500 KB jar 1 MB flash 5 MB ... cut for brevity > show wildfire statistics Packet based counters: Total msg rcvd: 1310 Total bytes rcvd: 1424965 Total msg read: 1310 Total bytes read: 1393525 ... cut for brevity > show wildfire cloud-info Public Cloud channel info: Cloud server type: wildfire cloud Supported file types: jar flash ms-office pe pdf apk email-link
WildFireサブミッションログには、アクションの投稿の詳細が示 WildFire されます。
ファイルが最近アップロードされた場合、 WildFire 分析がまだ完了していない可能性があり、その場合はレポートはまだ利用できません。
wildfire-upload.logは、ファイルの送信に関する詳細を表示します。 ログは CLI 次のように監視できます。
> grep mp-log wildfire-upload.log pattern wildfire-test-pe
2021-08-02 12:04:48 +0900: wildfire-test-pe-file.exe pe cancelled - by DP PUB 122 1 55296 0x4034 allow
2021-08-02 12:06:35 +0900: wildfire-test-pe-file.exe pe upload success PUB 125 2 55296 0x801c allow
2021-08-02 12:10:30 +0900: wildfire-test-pe-file.exe pe skipped - remote malware dup PUB 128 3 1428 0x1040 allow
> tail follow yes mp-log wildfire-upload.log
Data and Time filename file type action channel session_id transaction_id file_len flag traffic_action
2021-08-02 12:04:48 +0900: wildfire-test-pe-file.exe pe cancelled - by DP PUB 122 1 55296 0x4034 allow
2021-08-02 12:06:35 +0900: wildfire-test-pe-file.exe pe upload success PUB 125 2 55296 0x801c allow
2021-08-02 12:10:30 +0900: wildfire-test-pe-file.exe pe skipped - remote malware dup PUB 128 3 1428 0x1040 allow