Triaje y resolución de falsos positivos en los perfiles antivirus de Palo Alto Networks

Triaje y resolución de falsos positivos en los perfiles antivirus de Palo Alto Networks

160751
Created On 09/26/18 19:13 PM - Last Modified 09/16/25 15:18 PM


Symptom


A benign file is detected as malicious.



Environment


  • Todas las versiones de PAN-OS.

Cause


The Antivirus profile on Palo Alto Networks firewalls is designed to block malicious files. However, benign files may occasionally be incorrectly blocked.

Notas


1. Confianza en la integridad de los archivos: This triage assumes that the file comes from a trusted source and is highly likely to be benign.

2. Relevancia del registro de amenazas: This triage applies only to threat log entries with the types 'antivirus' or 'wildfire-virus'. It does not apply to entries of type 'ml-virus', 'spyware', or 'vulnerability'.

3. Guía de VirusTotal: VirusTotal results are a useful reference but not definitive in all cases.



Escenarios


Escenario 0: Dynamic Updates Not Current, Signature Already Disabled
Sometimes, a false positive affects multiple customers, and the problematic signature has already been disabled. Ensure that your Dynamic Updates schedule is properly configured.

Escenario 1: False Positive Due to Incorrect WildFire Verdict
A benign file analyzed by WildFire was incorrectly classified as malicious, leading to an Antivirus signature being created based on this incorrect verdict.

Escenario 2: Signature Collision with an Incorrect WildFire Verdict
Other benign files (with different SHA256 hashes) are flagged because their binary structure matches the signature of a file incorrectly classified as malicious (from Scenario 1).

Escenario 3: Signature Collision with a WildFire True Positive
A benign file is blocked because its binary structure matches that of a file correctly classified as malicious.



Cómo identificar el escenario

1. Compruebe si una firma está deshabilitada:

  • Registros de amenazas: Si los registros muestran el nombre de la amenaza como "desconocido", es posible que la firma ya esté deshabilitada. El campo de nombre se rellena mediante una consulta de la API, y una firma deshabilitada puede generar registros de amenaza sin nombre.
  • Baúl de amenazas: las firmas deshabilitadas generalmente se muestran como "ID de amenaza: n/d" y "Versión actual: n/d", lo que significa que la firma ya no está presente en las actualizaciones de contenido, pero aún puede estar activa en WildFire Real-Time.
  • Consulta de API: una consulta de API de Baúl de amenazas para el ID de amenaza puede mostrar un estado de "inactivo", lo que significa que la firma no está disponible en las actualizaciones de contenido o en WildFire Real-Time y, por lo tanto, este es el escenario 0.
2. Obtenga el ID de amenaza: From the threat logs, note the Threat ID of the triggered signature.
3. Buscar en Baúl de amenazas: Look up the Threat ID in Threat Vault.
4. Lista de hashes SHA256: Threat Vault will show a list of SHA256 hashes for files with a WildFire malicious verdict that match the signature pattern.
5. Búsqueda de VirusTotal:
  • Si todos los hashes tienen recuentos de detección bajos (por ejemplo, 3 o menos, + evaluar sus metadatos: prevalencia, comentarios y reputación del motor para llegar a una conclusión), entonces es probable que este sea el Escenario 2.
  • Si algún hash tiene altos recuentos de detección (por ejemplo, 4 o más + y los metadatos proporcionados son concluyentes para determinar que los hashes son maliciosos), entonces es probable que se trate del Escenario 1 o 3.
  • Si no se encuentran hashes en VirusTotal, puede tratarse del escenario 2 o 3.
6. Verifique el hash del archivo:
  • Calcula el hash SHA256 del archivo que activa la firma y compruébalo en Baúl de amenazas.
  • Si el veredicto de WildFire es malicioso y está seguro de que el archivo es benigno, este es el escenario 1.
  • Si el veredicto de WildFire es benigno o el hash del archivo no aparece en Baúl de amenazas, se trata de una colisión de firma confirmada (Escenario 2 o 3). Compare los datos de VirusTotal para obtener más información.

Resolution


Escenario 0: Actualice Antivirus y WildFire con los paquetes de contenido más recientes. Asegúrese de que la programación de actualizaciones dinámicas esté configurada correctamente y de que el servidor de actualizar sea accesible.

    Escenario 1: Enviar una solicitud de cambio de veredicto en WildFire para el hash SHA256 afectado. Para más información, consulte "Informar de veredicto incorrecto de WildFire (falso positivo o falso negativo de virus)" .

    Escenario 2: Envíe una solicitud de cambio de veredicto en WildFire para cualquiera de los hashes listados en Baúl de amenazas. Asegúrese de que todos los hashes asociados a la firma tengan un recuento bajo de detección de VirusTotal. Consulte "Informar de veredicto incorrecto de WildFire (falso positivo o falso negativo de virus)" para obtener más información.

    Escenario 3:

    • Si se confirma que el archivo es benigno, cree una excepción de antivirus para el ID de amenaza. Consulte la documentación sobre la creación de excepciones de amenazas para obtener instrucciones.
    • Si es probable que la colisión de firma afecte a otros clientes de Palo Alto Networks , infórmelo al soporte para una posible desactivación de la firma .


    Cómo informar un falso positivo al soporte de Palo Alto Networks

    Para una resolución más rápida, recopile la siguiente información antes de enviar un ticket de soporte:

    1. Versión del contenido: Proporcione las versiones actuales del contenido de los paquetes de firma de antivirus y WildFire. Use el comando de CLI "show system info" o consulte el widget del Panel en "Información general" para encontrarla.

    2. Información del archivo:

    • Proporcione el archivo de muestra que activa la firma, comprimido con la contraseña "infectado" para evitar problemas con el host o los dispositivos de seguridad de la red.
    • Alternativamente, proporcione el hash SHA256 si no se puede enviar el archivo.
    • Si el archivo es una aplicación conocida, proporcione una URL de acceso público para descargarla.

    3. Registros de amenazas: Exporte los registros de amenaza relevantes en formato CSV para incluirlos en el caso. Filtre los registros innecesarios para minimizar el tamaño del archivo.

    4. Contexto:

    • ¿Es esta una aplicación interna o de un tercero confiable?
    • ¿El archivo está firmado por una fuente confiable?
    • ¿Qué protocolo activó la detección (HTTP, HTTP2, SMB, FTP, etc.)?
    • ¿Se comparó el archivo con otras fuentes de reputación (por ejemplo, VirusTotal)?

    5. Importante: Si el hash no está en VirusTotal, evite cargarlo para proteger información confidencial.

    6. Información de amenazas: Proporcione una captura de pantalla o un texto de la alerta activada desde los registros de amenazas. Vaya a Monitor > Amenaza y haga clic en la lupa junto a la entrada del registro correspondiente para obtener la información necesaria, como se muestra en la siguiente capturar de pantalla:

    image.png


    Additional Information


    Related articles:
    ¿Qué es una colisión de firma ?
    Comprensión del registro de hash de archivos en eventos antivirus y WildFire
    Veredicto incorrecto del informe de WildFire (falso positivo o falso negativo del virus)
    Cómo usar excepciones de antispyware, vulnerabilidades y antivirus para bloquear o Permitir amenazas
    Cómo verificar el estado y solucionar problemas de la función de actualizaciones de firmas en tiempo real de WildFire
    Other users also viewed:
    Actions
    • Print
    • Copy Link

      https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm3aCAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

    Choose Language