Cómo enviar Anti-Virus Falso Positivo

Cómo enviar Anti-Virus Falso Positivo

117855
Created On 09/26/18 19:13 PM - Last Modified 10/13/23 11:26 AM


Symptom


En el Firewall , el perfil antivirus bloquea los archivos maliciosos. Si sospecha que el archivo bloqueado es benigno, puede abrir un caso con el soporte de PaloAlto para cambiar el veredicto del archivo y deshabilitar la firma.

Environment


  • Toda PAN-OS la versión.

Cause


A patrón de archivo benigno emparejado con un patrón con un archivo de malware.

Resolution


A El envío de False Positive dará lugar a una resolución más rápida si los siguientes datos se recopilan de forma proactiva y se cargan en el caso. 
 
Pasos

  1. La versión actual del anti-virus y el WildFire paquete de firma: CLI 's salida de 'mostrar información del sistema' o de PA firewall "Widget del panel- > información general" indica la información de la versión actual.
  2. ¿Cuál es el protocolo cuando se utiliza? Aunque esta información se puede identificar mediante registros de amenazas, sin embargo, será útil agregarla.
  3. Información de archivo: Cualquiera de los siguientes datos puede proporcionar información de archivo; por favor utilice cualquier método factible. Tenga en cuenta que uno de los siguientes es suficiente.
    1. Archivos de muestra reales que activan cada AV firma, comprimido(zip) con contraseña "infectada". Puede utilizar cualquier simple utilidad zip o compresión. La contraseña que protege el ZIP archivo garantizará que ningún host o dispositivos de seguridad basados en red quite los datos adjuntos cuando se cargue. Junto con el archivo, agregue el hash sha256 para garantizar la integridad del archivo.
    2. Para una aplicación pública donde se descarga el software, un acceso URL público es útil. Tenga en cuenta que una "aplicación pública" significa cuando un archivo se puede descargar sin crear una cuenta.
    3. Si el archivo tiene información confidencial y no desea compartirla, proporcione el hash sha256 del archivo. Tenga en cuenta que es posible que no podamos confirmar el falso positivo si no se proporciona la muestra real.
  4. Registros de amenazas: exporte el registro de amenazas para estos eventos en el CSV formato y cárguelo en el caso. Es importante filtrar y recopilar solo los registros relevantes, los registros innecesarios pueden hacer que un archivo sea grande y difícil de cargar.
    1. Cómo exportar el registro desde el firewall https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Clj3CAC 
  5. ¿Por qué sospechaste que estas AV alertas eran falsamente positivas?
    1. ¿Esta es su aplicación, desarrollada por su equipo interno?
    2. ¿Este archivo o aplicación es de una 3a parte de confianza?
    3. ¿Este archivo está firmado por una parte de confianza?
    4. ¿Este archivo se analiza internamente? ¿Ha comprobado alguna otra fuente reputacional como VirusTotal veredicto? (En caso de que el archivo contenga información confidencial, por favor absténgase de subirlo a VirusTotal).
  6. Proporcione el nombre y el hilo ID de la alerta de amenaza activada. Tome una captura de pantalla/salida de texto de la alerta de amenaza activada de los registros de amenazas (Supervisar > amenaza).Al hacer clic en el icono de la lupa le dará más detalles como se muestra en la imagen de abajo. es decir, Amenaza ID 377248044, y Nombre de la amenaza: Virus/Win32.WGeneric.aplnvy
Vista detallada de los registros de amenazas de virus
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm3aCAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language