Wie man Anti-Virus False Positive einreicht

Wie man Anti-Virus False Positive einreicht

117907
Created On 09/26/18 19:13 PM - Last Modified 10/13/23 11:26 AM


Symptom


Auf der Firewall blockiert das Antivirenprofil die schädlichen Dateien. Wenn Sie vermuten, dass die blockierte Datei gutartig ist, können Sie eine Anfrage mit PaloAlto-Unterstützung öffnen, um das Urteil der Datei zu ändern und die Signatur zu deaktivieren.

Environment


  • Alle PAN-OS Versionen.

Cause


A gutartiges Dateimuster, das mit einem Muster mit einer Malwaredatei abgeglichen wird.

Resolution


A Falsch-Positive Übermittlung führt zu einer schnelleren Lösung, wenn die folgenden Daten proaktiv gesammelt und in den Fall hochgeladen werden. 
 
Schritte

  1. Die aktuelle Version des Anti-Virus- und WildFire Signaturpakets: CLI die Ausgabe von 'Show System info' oder aus PA firewall 'Dashboard Widget--> Allgemeine Informationen' zeigt aktuelle Versionsinformationen an.
  2. Was ist das Protokoll bei der Verwendung? Obwohl diese Informationen durch Bedrohungsprotokolle identifiziert werden können, ist es nützlich, sie hinzuzufügen.
  3. Dateiinformationen: Jede der folgenden Daten kann Dateiinformationen bereitstellen; bitte jede praktikable Methode anwenden. Bitte beachten Sie, dass eine der folgenden Optionen ausreicht.
    1. Tatsächliche Beispieldateien, die jede AV Signatur auslösen, komprimiert(zip) mit dem Kennwort "infiziert". Sie können jedes einfache Zip- oder Komprimierungsprogramm verwenden. Das Kennwort zum Schutz der ZIP Datei stellt sicher, dass die Anlage beim Hochladen von Host- oder netzwerkbasierten Sicherheitsgeräten nicht entfernt wird. Fügen Sie zusammen mit der Datei den sha256-Hash hinzu, um die Integrität der Datei zu gewährleisten.
    2. Für eine öffentliche Anwendung, bei der Software heruntergeladen wird, ist eine öffentlich zugängliche URL Anwendung nützlich. Bitte beachten Sie, dass eine "öffentliche Anwendung" bedeutet, wenn eine Datei heruntergeladen werden kann, ohne ein Konto zu erstellen.
    3. Wenn die Datei vertrauliche Informationen enthält und Sie sie nicht freigeben möchten, geben Sie den sha256-Hash der Datei an. Bitte beachten Sie, dass wir das False Positive möglicherweise nicht bestätigen können, wenn die tatsächliche Probe nicht angegeben wird.
  4. Bedrohungsprotokolle: Exportieren Sie das Bedrohungsprotokoll für diese Ereignisse im CSV Format und laden Sie es in den Fall hoch. Es ist wichtig, herauszufiltern und nur die relevanten Protokolle zu sammeln, die unnötigen Protokolle können eine Datei groß und schwer hochzuladen machen.
    1. So exportieren Sie das Protokoll aus dem firewall https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Clj3CAC 
  5. Kontext, warum Sie vermuteten, dass diese AV Warnungen falsch positiv waren?
    1. Ist dies Ihre Anwendung, die von Ihrem internen Team entwickelt wurde?
    2. Handelt es sich bei dieser Datei oder Anwendung um einen vertrauenswürdigen Drittanbieter?
    3. Ist diese Datei von einer vertrauenswürdigen Partei signiert?
    4. Wird diese Datei intern analysiert? Haben Sie eine andere Reputationsquelle wie VirusTotal Urteil überprüft? (Falls die Datei vertrauliche Informationen enthält, bitte unterlassen Sie es, sie auf VirusTotal hochzuladen).
  6. Geben Sie den Namen und den Thread ID der ausgelösten Bedrohungswarnung an. Erstellen Sie einen Screenshot/Textausgang der ausgelösten Bedrohungswarnung aus den Bedrohungsprotokollen (Monitor > Threat).Wenn Sie auf das Lupensymbol klicken, erhalten Sie weitere Details, wie in der Abbildung unten gezeigt. d.h. Bedrohung ID 377248044 und Bedrohungsname: Virus/Win32.WGeneric.aplnvy
Detaillierte Ansicht der Virus-Bedrohungsprotokolle
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm3aCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language