什么是签名冲突?
47874
Created On 09/26/18 19:13 PM - Last Modified 10/10/24 18:24 PM
Symptom
什么是签名冲突?
Environment
帕洛阿尔托网络 firewall
防病毒检查
Cause
良性示例可以触发最初为其他"恶意软件判决"示例创建的签名。 这是因为 Benign 样本可能包含与以前生成基于模式的签名的"恶意判断"样本完全相同的相同字节值。 发生这种情况时, 这称为签名冲突。
最初生成签名的样本的恶意判断可以是真阳性(真正的恶意软件文件收到恶意软件判决),也可以是误报(真正的良性文件收到恶意软件判决)。 这两个方案确定方案是签名与正阳性签名的碰撞,还是与假阳性的签名冲突。 这两种方案的解析路由都不同。
Resolution
第一步是确保您在动态更新中运行最新的防病毒软件和 WildFire 签名包,并配置适当的下载和安装计划。 建议的动态更新更新检查频率是每小时防病毒,每分钟 WildFire (或实时运行 PAN-OS >=10.0)。
然后,在 威胁库 中搜索被触发的普遍威胁 ID ,并找到与签名相关的sha256哈希,然后使用找到的sha256哈希在 VirusTotal 中搜索,根据检测速率获取一些概念,这将有助于您判断这些(与签名相关的样本)是否可能是误报。
对于签名与误报碰撞的情况,请报告与签名相关的样本 的错误判断(尽管您不太可能有原始样本的现成副本),如果原始样本无法通过"报告错误判决"选项进行报告,请请求支持更改判决。
对于签名碰撞与真正正面的情况,建议将防病毒软件例外。 (参考"防病毒例外")。 如果防病毒例外不合适(Palo Alto 网络评估样本是特定于环境的样本,还是影响大量客户的广泛流行文件),则可按照 "如何提交防病毒假阳性"中的说明向 Palo Alto 网络支持部门报告该案例。