Wildfire 配置、测试和监控
Symptom
WildFire 是一种基于云的服务,与 Palo Alto 集成 Firewall ,提供恶意软件的检测和预防。
Environment
- PANOS 8.1 及以上
- WildFire
Resolution
WildFire 是一种基于云的服务,与 Palo Alto 集成 Firewall ,提供恶意软件的检测和预防。
PAN-OS 7.0 +
从 PAN-OS 7.0 开始, WildFire 配置为 WildFire 分析配置文件 ,然后可以应用于 policy 与需要分析的流量相匹配的安全性。
在安全 policy 性:
请确保如果安全 policy 性更严格,以验证应用程序 paloalto- wildfire 云是否允许从管理界面出站到互联网。 应用程序可能需要添加到 policy 包含 paloalto 更新等服务的现有服务中,或者需要添加额外的服务路线以将云绑定 wildfire 到外部界面
WildFire分析可以简单地设置为发送到公共云,或者如果 WF-500 有设备可用,发送到私云
A 配置中确定的文件类型 WildFire 与 WildFire 云匹配。
帕洛阿尔托网络防火墙计算文件的哈希,只发送计算哈希到 WildFire 云:在云中哈希与哈希上比较 firewall 。 如果哈希不匹配,则上传并检查,可以在门户网站上查看文件详细信息 WildFire wildfire (https://.paloaltonetworks.com/)。 请参阅《 行政指南》, 查找其他区域云的网址。
A 文件也可以手动上传到 WildFire 门户进行分析。
WildFire 测试/监控:
为了保证管理端口能够与我们沟通, WildFire 我们可以使用"请求 wildfire 注册"命令 CLI 中的。
> request wildfire registration
WildFire registration for Public Cloud is triggered
WildFire registration for Private Cloud is triggered
下面的命令也可用于验证 WildFire 操作:
> show wildfire status Connection info: Signature verification: enable Server selection: enable File cache: enable WildFire Public Cloud: Server address: wildfire.paloaltonetworks.com Status: Idle Best server: eu-west-1.wildfire.paloaltonetworks.com Device registered: yes Through a proxy: no Valid wildfire license: yes Service route IP address: File size limit info: pe 2 MB apk 10 MB pdf 200 KB ms-office 500 KB jar 1 MB flash 5 MB ... cut for brevity > show wildfire statistics Packet based counters: Total msg rcvd: 1310 Total bytes rcvd: 1424965 Total msg read: 1310 Total bytes read: 1393525 ... cut for brevity > show wildfire cloud-info Public Cloud channel info: Cloud server type: wildfire cloud Supported file types: jar flash ms-office pe pdf apk email-link
WildFire提交日志在发布操作后提供详细信息 WildFire :
如果最近上传了该文件, WildFire 分析可能尚未完成,在这种情况下,报告将不可用:
wildfire-上传.log显示有关文件提交的细节。 日志可在以下内容上进行监控 CLI 。
> grep mp-log wildfire-upload.log pattern wildfire-test-pe
2021-08-02 12:04:48 +0900: wildfire-test-pe-file.exe pe cancelled - by DP PUB 122 1 55296 0x4034 allow
2021-08-02 12:06:35 +0900: wildfire-test-pe-file.exe pe upload success PUB 125 2 55296 0x801c allow
2021-08-02 12:10:30 +0900: wildfire-test-pe-file.exe pe skipped - remote malware dup PUB 128 3 1428 0x1040 allow
> tail follow yes mp-log wildfire-upload.log
Data and Time filename file type action channel session_id transaction_id file_len flag traffic_action
2021-08-02 12:04:48 +0900: wildfire-test-pe-file.exe pe cancelled - by DP PUB 122 1 55296 0x4034 allow
2021-08-02 12:06:35 +0900: wildfire-test-pe-file.exe pe upload success PUB 125 2 55296 0x801c allow
2021-08-02 12:10:30 +0900: wildfire-test-pe-file.exe pe skipped - remote malware dup PUB 128 3 1428 0x1040 allow