Comment soumettre anti-virus faux positif

Comment soumettre anti-virus faux positif

117883
Created On 09/26/18 19:13 PM - Last Modified 10/13/23 11:26 AM


Symptom


Sur le Firewall , le profil Anti-virus bloque les fichiers malveillants. Si vous soupçonnez que le fichier bloqué est bénin, vous pouvez ouvrir une affaire avec le soutien de PaloAlto pour modifier le verdict du fichier et désactiver la signature.

Environment


  • Toutes PAN-OS les versions.

Cause


A modèle de fichier bénin assorti à un modèle avec un fichier malware.

Resolution


A La soumission faussement positive se traduira par une résolution plus rapide si les données suivantes sont collectées de manière proactive et téléchargées sur l’affaire. 
 
Étapes

  1. La version actuelle de l’anti-virus et WildFire du package signature : la sortie CLI d’informations système d’exposition ou PA firewall de « Dashboard Widget--> General Information » indique les informations de version actuelles.
  2. Quel est le protocole lorsqu’il est utilisé? Toutefois, bien que ces informations puissent être identifiées par des journaux de menaces, il sera utile de les ajouter.
  3. Informations de fichier: L’une des données suivantes peut fournir des informations de fichier; s’il vous plaît utiliser n’importe quelle méthode faisable. Veuillez noter que l’un des éléments suivants suffit.
    1. Exemples réels de fichiers qui déclenchent chaque AV signature, compressé (zip) avec mot de passe « infecté ». Vous pouvez utiliser n’importe quel utilitaire zip ou compression simple. Le mot de passe protégeant ZIP le fichier garantira que la pièce jointe ne sera pas dépouillée par aucun périphérique de sécurité hébergeur ou réseau lorsqu’elle sera téléchargée. Avec le fichier, s’il vous plaît ajouter le hachage sha256 pour assurer l’intégrité du fichier.
    2. Pour une application publique où le logiciel est téléchargé, un accessible au public URL est utile. Veuillez noter qu’une « application publique » signifie qu’un fichier peut être téléchargé sans créer de compte.
    3. Si le fichier a des informations sensibles et que vous ne souhaitez pas les partager, fournissez le hachage sha256 du fichier. Veuillez noter que nous pourrions ne pas être en mesure de confirmer le faux positif si l’échantillon réel n’est pas fourni.
  4. Journaux de menaces : Veuillez exporter le journal des menaces pour ces événements dans le CSV format et le télécharger sur l’étui. Il est important de filtrer et de recueillir uniquement les journaux pertinents, les journaux inutiles peuvent rendre un fichier grand et difficile à télécharger.
    1. Comment exporter le journal de la firewall https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Clj3CAC 
  5. Contexte autour de laquelle vous soupçonniez AV que ces alertes étaient faussement positives?
    1. Est-ce votre application, développée par votre équipe interne ?
    2. Est-ce que ce fichier ou demande est d’une tierie partie de confiance?
    3. Ce fichier est-il signé par une partie de confiance ?
    4. Ce fichier est-il analysé en interne ? Avez-vous vérifié une autre source de réputation comme virusTotal verdict? (Dans le cas où le fichier contient des informations sensibles, veuillez vous abstenir de les télécharger sur VirusTotal).
  6. Veuillez fournir le nom et le thread de ID l’alerte de menace déclenchée. Prenez une capture d’écran /sortie de texte de l’alerte de menace déclenchée à partir des journaux de menaces(Monitor > Threat).En cliquant sur l’icône loupe vous donnera plus de détails comme indiqué dans l’image ci-dessous. C.-à-d. ID Menace 377248044, et nom de menace : Virus/Win32.WGeneric.aplnvy
Vue détaillée des journaux de menaces virus
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm3aCAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language