Triage et résolution des faux positifs dans les profils antivirus de Palo Alto Networks

Triage et résolution des faux positifs dans les profils antivirus de Palo Alto Networks

160729
Created On 09/26/18 19:13 PM - Last Modified 09/16/25 15:18 PM


Symptom


A benign file is detected as malicious.



Environment


  • Toutes les versions PAN-OS.

Cause


The Antivirus profile on Palo Alto Networks firewalls is designed to block malicious files. However, benign files may occasionally be incorrectly blocked.

Remarques


1. Confiance dans l’intégrité des fichiers : This triage assumes that the file comes from a trusted source and is highly likely to be benign.

2. Pertinence du journal des menaces : This triage applies only to threat log entries with the types 'antivirus' or 'wildfire-virus'. It does not apply to entries of type 'ml-virus', 'spyware', or 'vulnerability'.

3. Conseils VirusTotal : VirusTotal results are a useful reference but not definitive in all cases.



Scénarios


Scénario 0 : Dynamic Updates Not Current, Signature Already Disabled
Sometimes, a false positive affects multiple customers, and the problematic signature has already been disabled. Ensure that your Dynamic Updates schedule is properly configured.

Scénario 1 : False Positive Due to Incorrect WildFire Verdict
A benign file analyzed by WildFire was incorrectly classified as malicious, leading to an Antivirus signature being created based on this incorrect verdict.

Scénario 2 : Signature Collision with an Incorrect WildFire Verdict
Other benign files (with different SHA256 hashes) are flagged because their binary structure matches the signature of a file incorrectly classified as malicious (from Scenario 1).

Scénario 3 : Signature Collision with a WildFire True Positive
A benign file is blocked because its binary structure matches that of a file correctly classified as malicious.



Comment identifier le scénario

1. Vérifiez si une signature est désactivée :

  • Journaux des menaces : si le nom de la menace est « inconnu », la signature est peut-être déjà désactivée. Le champ « Nom » est renseigné via une requête API, et une signature désactivée peut générer des journaux des menace sans nom.
  • Archivage sécurisé des menaces: les signatures désactivées s'affichent généralement sous la forme « ID de menace : n/a » et « Version actuelle : n/a », ce qui signifie que la signature n'est plus présente dans les mises à jour de contenu, mais peut toujours être active dans WildFire Real-Time.
  • Requête API : une requête API Archivage sécurisé des menaces pour l'ID de menace peut afficher un état « inactif », ce qui signifie que la signature n'est pas disponible dans les mises à jour de contenu ou WildFire Real-Time, et il s'agit donc du scénario 0.
2. Obtenir l'ID de menace : From the threat logs, note the Threat ID of the triggered signature.
3. Rechercher dans Archivage sécurisé des menaces: Look up the Threat ID in Threat Vault.
4. Liste des hachages SHA256 : Threat Vault will show a list of SHA256 hashes for files with a WildFire malicious verdict that match the signature pattern.
5. Recherche VirusTotal :
  • Si tous les hachages ont un faible nombre de détections (par exemple, 3 ou moins, + évaluez ses métadonnées : prévalence, commentaires et réputation du moteur pour parvenir à une conclusion), il s'agit probablement du scénario 2.
  • Si un hachage présente un nombre élevé de détections (par exemple, 4 ou plus + et que les métadonnées fournies sont concluantes pour déterminer que les hachages sont malveillants), il s'agit probablement du scénario 1 ou 3.
  • Si aucun hachage n'est trouvé sur VirusTotal, il peut s'agir du scénario 2 ou 3.
6. Vérifiez le hachage du fichier :
  • Calculez le hachage SHA256 du fichier déclenchant la signature et vérifiez-le dans Archivage sécurisé des menaces.
  • Si le verdict WildFire est malveillant et que vous êtes sûr que le fichier est bénin, il s'agit du scénario 1.
  • Si le verdict WildFire est bénin ou si le hachage du fichier n'est pas répertorié dans Archivage sécurisé des menaces, il s'agit d'une collision de signature confirmée (scénario 2 ou 3). Consultez les données de VirusTotal pour plus d'informations.

Resolution


Scénario 0 : Mettez à jour Antivirus et WildFire avec les derniers packages de contenu. Assurez-vous que la planification des mises à jour dynamiques est correctement configurée et que le serveur de mettre à jour est accessible.

    Scénario 1 : Soumettre une demande de modification de verdict dans WildFire pour le hachage SHA256 concerné. Pour plus de détails, consultez la section « Rapport de verdict incorrect WildFire (faux positif ou faux négatif) » .

    Scénario 2 : Soumettez une demande de modification de verdict dans WildFire pour l'un des hachages répertoriés dans Archivage sécurisé des menaces. Assurez-vous que tous les hachages associés à la signature présentent un faible nombre de détections VirusTotal. Pour plus d'informations, consultez la section « Rapport de verdict incorrect WildFire (faux positif ou faux négatif) » .

    Scénario 3 :

    • Si le fichier est confirmé comme étant bénin, créez une exception antivirus pour l'ID de menace. Consultez la documentation sur la création d'exceptions de menace pour obtenir des instructions.
    • Si la collision de signature est susceptible d'avoir un impact sur d'autres clients de Palo Alto Networks , signalez-la au support pour une éventuelle désactivation de la signature .


    Signaler un faux positif au support Palo Alto Networks

    Pour une résolution plus rapide, rassemblez les informations suivantes avant de soumettre un ticket d'assistance :

    1. Version du contenu : indiquez les versions actuelles du contenu des packages de signature antivirus et WildFire. Utilisez la commande CLI « show system info » ou consultez le widget tableau de bord sous « Informations générales » pour les trouver.

    2. Informations sur le fichier :

    • Fournissez le fichier d'exemple déclenchant la signature, compressé avec le mot de passe « infecté » pour éviter les problèmes avec les périphériques de sécurité de l'hôte ou du réseau.
    • Vous pouvez également fournir le hachage SHA256 si le fichier ne peut pas être soumis.
    • Si le fichier est une application connue, fournissez une URL accessible au public pour le télécharger.

    3. Journaux des menaces : Exportez les journaux des menace pertinents au format CSV pour les inclure dans le dossier. Filtrez les journaux inutiles pour minimiser la taille du fichier.

    4. Contexte :

    • S'agit-il d'une application interne ou d'un tiers de confiance ?
    • Le fichier est-il signé par une source fiable ?
    • Quel protocole a déclenché la détection (HTTP, HTTP2, SMB, FTP, etc.) ?
    • Le fichier a-t-il été vérifié par rapport à d'autres sources de réputation (par exemple, VirusTotal) ?

    5. Important : si le hachage n’est pas dans VirusTotal, évitez de le télécharger pour protéger les informations sensibles.

    6. Informations sur les menaces : Fournissez une capture d’écran ou un texte de l’ alerte déclenchée dans les journaux des menaces. Accédez à Surveillance > Menace et cliquez sur la loupe à côté de l’entrée de journal concernée pour obtenir les détails nécessaires, comme illustré dans la capturer d’écran ci-dessous.

    image.png


    Additional Information


    Related articles:
    Qu'est-ce qu'une collision de signature ?
    Comprendre la journalisation des hachages de fichiers dans les événements antivirus et WildFire
    Rapport WildFire : verdict incorrect (faux positif ou faux négatif du virus)
    Comment utiliser les exceptions anti-spyware, de vulnérabilité et antivirus pour bloquer ou Autoriser les menaces
    Comment vérifier l' état et dépanner la fonctionnalité de mises à jour de signature en temps réel WildFire
    Other users also viewed:
    Actions
    • Print
    • Copy Link

      https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm3aCAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

    Choose Language