Qu'est-ce qu'une collision signature?

Qu'est-ce qu'une collision signature?

Les échantillons bénins peuvent déclencher des signatures qui ont été créées à l’origine pour un échantillon différent de « verdict malware ». Cela est dû au fait que l’échantillon Bénin peut contenir exactement les mêmes valeurs d’au-end dans les mêmes décalages d’octet qu’un échantillon précédemment « verdict malveillant » pour lequel une signature basée sur le modèle a été produite. Lorsque cela se produit, cela est connu comme une collision signature.

Le verdict malveillant sur l’échantillon qui a produit à l’origine la signature peut être soit un vrai positif (un vrai fichier malware a reçu un verdict malware) ou, il peut également être un faux positif (un vrai fichier bénin a reçu un verdict malware). Ces deux scénarios déterminent si le scénario est celui d’une collision de signature avec la signature d’un vrai positif, ou d’une collision de signature avec la signature d’un faux positif. L’itinéraire de résolution pour l’un ou l’autre scénario est différent.

La première étape consiste à vous assurer que vous exécutant les derniers paquets antivirus WildFire et signature dans les mises à jour dynamiques, et que l’horaire approprié pour télécharger et installer est configuré. Les fréquences de contrôle de mise à jour dynamique recommandées sont horaires pour antivirus, et chaque minute WildFire pour (ou en temps réel PAN-OS si l’exécution > = 10,0).

Ensuite, recherchez dans Threat Vault pour la menace universelle ID déclenchée, et trouvez les hashes sha256 associés à la signature, puis utilisez les hashes sha256 trouvés pour rechercher dans VirusTotal pour obtenir une certaine notion basée sur le taux de détection, cela vous aidera à évaluer si ces (échantillons liés à la signature) peuvent ou non être de faux positifs.

Dans le cas d’une collision avec une signature avec un faux positif, veuillez signaler le verdict incorrect de l’échantillon associé à la signature (bien qu’il puisse être peu probable que vous avez une copie facilement disponible de l’échantillon original), si l’échantillon original n’était pas disponible pour signaler par l’intermédiaire des options de « rapport verdict incorrect », demandez le changement de verdict avec l’appui.

Dans le cas d’une collision de signature avec un vrai positif, la recommandation est de placer une exception antivirus. (Référence "Exceptions antivirus« ). Si une exception antivirus n’était pas appropriée (Palo Alto Networks évalue si l’échantillon est un échantillon spécifique à l’environnement, ou un fichier très populaire qui affecte un grand nombre de clients), le cas peut être signalé à Palo Alto Networks Support en suivant les instructions dans Comment soumettre un faux positif anti-virus.