Triage und Lösung von Fehlalarmen in den Antivirusprofilen von Palo Alto Networks

Triage und Lösung von Fehlalarmen in den Antivirusprofilen von Palo Alto Networks

160751
Created On 09/26/18 19:13 PM - Last Modified 09/16/25 15:18 PM


Symptom


A benign file is detected as malicious.



Environment


  • Alle PAN-OS-Versionen.

Cause


The Antivirus profile on Palo Alto Networks firewalls is designed to block malicious files. However, benign files may occasionally be incorrectly blocked.

Hinweise


1. Vertrauen in die Dateiintegrität: This triage assumes that the file comes from a trusted source and is highly likely to be benign.

2. Relevanz des Bedrohungsprotokolls: This triage applies only to threat log entries with the types 'antivirus' or 'wildfire-virus'. It does not apply to entries of type 'ml-virus', 'spyware', or 'vulnerability'.

3. VirusTotal-Anleitung: VirusTotal results are a useful reference but not definitive in all cases.



Szenarien


Szenario 0: Dynamic Updates Not Current, Signature Already Disabled
Sometimes, a false positive affects multiple customers, and the problematic signature has already been disabled. Ensure that your Dynamic Updates schedule is properly configured.

Szenario 1: False Positive Due to Incorrect WildFire Verdict
A benign file analyzed by WildFire was incorrectly classified as malicious, leading to an Antivirus signature being created based on this incorrect verdict.

Szenario 2: Signature Collision with an Incorrect WildFire Verdict
Other benign files (with different SHA256 hashes) are flagged because their binary structure matches the signature of a file incorrectly classified as malicious (from Scenario 1).

Szenario 3: Signature Collision with a WildFire True Positive
A benign file is blocked because its binary structure matches that of a file correctly classified as malicious.



So identifizieren Sie das Szenario

1. Prüfen Sie, ob eine Signatur deaktiviert ist:

  • Bedrohungsprotokolle: Wenn in Protokollen der Bedrohungsname als „unbekannt“ angezeigt wird, ist die Signatur möglicherweise bereits deaktiviert. Das Namensfeld wird über eine API-Abfrage ausgefüllt. Eine deaktivierte Signatur kann zu Bedrohung ohne Namen führen.
  • Threat Vault: Deaktivierte Signaturen werden normalerweise als „Threat ID: n/a“ und „Aktuelle Version: n/a“ angezeigt. Dies bedeutet, dass die Signatur in Inhaltsaktualisierungen nicht mehr vorhanden ist, in WildFire Real-Time jedoch möglicherweise noch aktiv ist.
  • API-Abfrage: Eine Threat Vault -API-Abfrage für die Bedrohungs-ID zeigt möglicherweise den Status „inaktiv“ an, was bedeutet, dass die Signatur in Inhaltsaktualisierungen oder WildFire Real-Time nicht verfügbar ist. Daher handelt es sich um Szenario 0.
2. Ermitteln Sie die Bedrohungs-ID: From the threat logs, note the Threat ID of the triggered signature.
3. Suche im Threat Vault: Look up the Threat ID in Threat Vault.
4. Liste der SHA256-Hashes: Threat Vault will show a list of SHA256 hashes for files with a WildFire malicious verdict that match the signature pattern.
5. VirusTotal-Suche:
  • Wenn alle Hashes eine niedrige Erkennungszahl aufweisen (z. B. 3 oder weniger, + Auswertung der Metadaten: Verbreitung, Kommentare und Vertrauenswürdigkeit der Engine, um zu einer Schlussfolgerung zu gelangen), handelt es sich wahrscheinlich um Szenario 2.
  • Wenn ein Hash eine hohe Erkennungszahl aufweist (z. B. 4 oder mehr + und die bereitgestellten Metadaten eindeutig bestimmen, ob die Hashes bösartig sind), handelt es sich wahrscheinlich um Szenario 1 oder 3.
  • Wenn auf VirusTotal keine Hashes gefunden werden, kann es sich um Szenario 2 oder 3 handeln.
6. Überprüfen Sie den Datei-Hash:
  • Berechnen Sie den SHA256-Hash der Datei, die die Signatur auslöst, und überprüfen Sie ihn in Threat Vault.
  • Wenn WildFire die Datei als bösartig einstuft und Sie davon überzeugt sind, dass sie harmlos ist, handelt es sich um Szenario 1.
  • Wenn das WildFire-Urteil harmlos ist oder der Hash der Datei nicht in Threat Vault aufgeführt ist, handelt es sich um eine bestätigte Signatur (Szenario 2 oder 3). Vergleichen Sie die Daten von VirusTotal für weitere Informationen.

Resolution


Szenario 0: Aktualisieren Sie Antivirus und WildFire auf die neuesten Inhaltspakete. Stellen Sie sicher, dass der Zeitplan für dynamische Updates korrekt konfiguriert ist und der aktualisieren -Server erreichbar ist.

    Szenario 1: Senden Sie in WildFire eine Änderungsanforderung für den betroffenen SHA256-Hash. Weitere Informationen finden Sie im WildFire-Bericht „Falsches Urteil“ (falsch positiv oder falsch negativ für Viren) .

    Szenario 2: Senden Sie in WildFire einen Antrag auf Änderung des Urteils für einen der in Threat Vault aufgeführten Hashes. Stellen Sie sicher, dass alle mit der Signatur verknüpften Hashes eine niedrige VirusTotal-Erkennungszahl aufweisen. Weitere Informationen finden Sie im WildFire-Bericht „Falsches Urteil“ (falsch positiv oder falsch negativ) .

    Szenario 3:

    • Wenn die Datei als harmlos bestätigt wird, erstellen Sie eine Antivirus-Ausnahme für die Bedrohungs-ID. Anweisungen finden Sie in der Dokumentation zum Erstellen von Bedrohungsausnahmen .
    • Wenn die Signatur wahrscheinlich Auswirkungen auf andere Kunden von Palo Alto Networks hat, melden Sie sie dem Support, damit die Signatur möglicherweise deaktiviert werden kann.


    Melden eines Fehlalarms an den Palo Alto Networks Support

    Um eine schnellere Lösung zu erreichen, sammeln Sie die folgenden Informationen, bevor Sie ein Support-Ticket einreichen:

    1. Inhaltsversion: Geben Sie die aktuellen Inhaltsversionen der Antivirus- und WildFire Signatur an. Verwenden Sie dazu den CLI-Befehl „show system info“ oder überprüfen Sie das Dashboard -Widget unter „Allgemeine Informationen“.

    2. Dateiinformationen:

    • Stellen Sie die Beispieldatei, die die Signatur auslöst, komprimiert mit dem Kennwort „infected“ bereit, um Probleme mit Host- oder Netzwerksicherheitsgeräten zu vermeiden.
    • Geben Sie alternativ den SHA256-Hash an, wenn die Datei nicht übermittelt werden kann.
    • Handelt es sich bei der Datei um eine bekannte Anwendung, geben Sie eine öffentlich zugängliche URL zum Herunterladen an.

    3. Bedrohungsprotokolle: Exportieren Sie relevante Bedrohung im CSV Format, um sie dem Fall beizufügen. Filtern Sie unnötige Protokolle heraus, um die Dateigröße zu minimieren.

    4. Kontext:

    • Handelt es sich hierbei um eine interne Anwendung oder stammt sie von einem vertrauenswürdigen Drittanbieter?
    • Ist die Datei von einer vertrauenswürdigen Quelle signiert?
    • Welches Protokoll hat die Erkennung ausgelöst (HTTP, HTTP2, SMB, FTP usw.)?
    • Wurde die Datei mit anderen Reputationsquellen (z. B. VirusTotal) abgeglichen?

    5. Wichtig: Wenn der Hash nicht in VirusTotal vorhanden ist, sollten Sie ihn nicht hochladen, um vertrauliche Informationen zu schützen.

    6. Bedrohungsinformationen: Stellen Sie einen Screenshot oder eine Textausgabe der ausgelösten Benachrichtigung aus den Bedrohungsprotokollen bereit. Navigieren Sie zu „Monitor > Bedrohung“ und klicken Sie auf die Lupe neben dem entsprechenden Protokolleintrag, um die erforderlichen Details zu erhalten, wie im folgenden erfassen dargestellt:

    image.png


    Additional Information


    Related articles:
    Was ist eine Signatur ?
    Grundlegendes zur Datei-Hash-Protokollierung in Antivirus- und WildFire-Ereignissen
    Falsches Urteil im WildFire-Bericht (falsch positiv oder falsch negativ für Virus)
    So verwenden Sie Anti-Spyware-, Schwachstellen- und Antivirus-Ausnahmen, um Bedrohungen zu blockieren oder zulassen
    So überprüfen Sie den Status und beheben Probleme mit der Merkmal „WildFire Real Time Signature Updates“
    Other users also viewed:
    Actions
    • Print
    • Copy Link

      https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm3aCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

    Choose Language