Wie man die Konnektivität zu Wildfire und den Status von Upload-Dateien prüft
Resolution
Übersicht
Dieses Dokument beschreibt die CLI-Befehle, um die Konnektivität zur Wildfire-Cloud und den Status von Dateien, die auf Sie hochgeladen werden, zu überprüfen.
Details
Sobald die Grundkonfiguration abgeschlossen ist, stellt der folgende Befehl die Details des am besten ausgewählten Servers zur Verfügung:
> die Lauffeuer-Registrierung testen
Dieser Test kann einige Minuten dauern. Wollen Sie weitermachen? (y oder n)
Test Lauffeuer
Lauffeuer-Registrierung: erfolgreich
Download Server List: erfolgreich
Wählen Sie den besten Server: VA-S1.Wildfire.paloaltonetworks.com
Hinweis: verwenden Sie ping nicht, um die Konnektivität auf den Server zu testen. Ping-Anfragen sind auf dem Wildfire-Server deaktiviert. Die beste Praxis, die Konnektivität zu testen, ist das Telnet auf den Server auf Port 443.
Um zu überprüfen, ob Dateien an den Server weitergeleitet wurden, geben Sie folgenden Befehl ein:
> Lauffeuer-Status anzeigen
Verbindungs-Info:
Wildfire Cloud: Standard
-Cloud-Status: idle
Best Server: VA-S1.Wildfire.paloaltonetworks.com
Gerät registriert: Ja
Service Route IP-Adresse: 192.168.1.1
Signatur-Verifizierung: Server-
Auswahl aktivieren:
durch einen Proxy aktivieren: Nein
Weiterleitung info:
Dateigröße Limit (MB): 2
Datei Leerlauf-Auszeit (zweite): 90
Gesamt Datei weitergeleitet: 0
Weiterleitungs Rate (pro Minute): 0
gleichzeitige Dateien: 0
Der gesamte Datei-übermittelte Zähler liefert die Anzahl der Dateien, die an den Server weitergeleitet werden. Daten Filter Protokolle können verwendet werden, um den Status der Datei zu überprüfen. Hier die drei verfügbaren Aktionen:
- Vorwärts, aber kein Wildfire-Upload-Erfolg oder Wildfire-Upload-Skip, bedeutet, dass die Datei entweder von einem vertrauenswürdigen dateisigner signiert wird, oder es ist eine gutartige Probe, die die Cloud bereits gesehen hat. Im folgenden finden Sie eine Erläuterung der verschiedenen Status Möglichkeiten.
- Die Forward - Data-Ebene hat eine PE (potenziell ausführbare) Datei auf einer Wildfire-fähigen Richtlinie entdeckt. Die PE-Datei wird in der Management-Ebene gepuffert.
- Wenn nur vorwärts für eine bestimmte Datei angezeigt wird, wird Sie entweder von einem vertrauenswürdigen dateisigner signiert, oder es ist eine gutartige Probe, die die Cloud bereits gesehen hat. In beiden Fällen werden keine weiteren Aktionen in der Datei durchgeführt, und es werden keine weiteren Informationen an die Cloud gesendet (nicht einmal Sitzungsinformationen werden für zuvor gesehene gutartige Dateien gesendet). Für diese Dateien wird es keinen Eintrag im Wildfire-Webportal geben.
Um die Zählung zu sehen, wie viele PE-Dateien überprüft wurden, gefunden, um sauber oder hochgeladen zu sein, geben Sie den Befehl:
> Lauffeuer-Statistik anzeigen
Wildfire-Upload-Erfolg
Das bedeutet, dass die Datei nicht von einem vertrauenswürdigen Signer signiert wurde und die Datei noch nicht von der Cloud gesehen wurde. In diesem Fall wurde die Datei (und Session-Info) zur Analyse in die Cloud hochgeladen.
Wildfire-Upload-Skip
Pan-OS 5,0:
Die Wildfire-Upload-Skip- Nachricht wird für alle identifizierten Dateien angezeigt und ist berechtigt, an Wildfire gesendet zu werden (d.h. Sie zeigen die Vorwärts- Aktion), die nicht gesendet werden, weil Sie bereits gesehen wurden. Dazu gehören sowohl gutartige als auch Malware. Sie sollten eine 1-zu-1-Beziehung zwischen Vorwärts- Logs und einer von: Wildfire-Upload-Erfolg oder Wildfire-Upload-Skip sehen.
Eine der beiden oben genannten Wildfire-Aktionen sollte zu einem entsprechenden Bericht im Wildfire-Webportal führen.
Siehe auch
Mehrere Dateien auf Wildfire hochladen
Besitzer: Mvenkatesan