ウイルス対策偽陽性の提出方法
117873
Created On 09/26/18 19:13 PM - Last Modified 10/13/23 11:26 AM
Symptom
では Firewall 、ウイルス対策プロファイルは悪意のあるファイルをブロックします。 ブロックされたファイルが問題であると思われる場合は、PaloAlto サポートを使用してケースを開いて、ファイルの判定を変更し、署名を無効にすることができます。
Environment
- すべての PAN-OS バージョン。
Cause
A 無害なファイル パターンは、マルウェア ファイルとパターンに一致します。
Resolution
- ウイルス対策と署名パッケージの現在のバージョン WildFire : CLI '表示システム情報'または PA firewall 「ダッシュボードウィジェット - >一般情報」からの出力は、現在のバージョン情報を示します。
- 使用時のプロトコルは何ですか? ただし、この情報は脅威ログで識別できますが、追加すると便利です。
- ファイル情報: 次のデータはいずれもファイル情報を提供できます。任意の実行可能な方法を使用してください。 以下のいずれかで十分です。
- 各署名をトリガーする実際のサンプル ファイル AV 、パスワード "感染" を使用して圧縮 (zip) 。 任意の単純な zip または圧縮ユーティリティを使用できます。 ファイルを保護するパスワード ZIP は、添付ファイルがアップロードされるときに、ホストまたはネットワークベースのセキュリティデバイスによって削除されないようにします。 ファイルと共に、sha256 ハッシュを追加してファイルの整合性を確保してください。
- ソフトウェアをダウンロードするパブリック アプリケーションの場合、パブリックにアクセスできるアプリケーション URL が役立ちます。 「パブリックアプリケーション」とは、アカウントを作成せずにファイルをダウンロードできる場合を意味します。
- ファイルに機密情報が含まれ、共有したくない場合は、ファイルの sha256 ハッシュを指定します。 実際のサンプルが提供されていない場合、誤検知を確認できない場合がありますのでご注意ください。
- 脅威ログ: これらのイベントの脅威ログを形式でエクスポート CSV し、ケースにアップロードしてください。 除外して、関連するログのみを収集することが重要です、不要なログは、ファイルを大きくし、アップロードするのが難しいことができます。
- これらのアラートが誤検出であると疑った理由に関するコンテキスト AV は?
- これはあなたの内部チームによって開発されたあなたのアプリケーションですか?
- このファイルまたはアプリケーションは信頼できるサードパーティのファイルですか?
- このファイルは信頼されたパーティによって署名されていますか?
- このファイルは内部で分析されていますか? VirusTotal評決など、他の評判のソースを確認しましたか? (ファイルに機密情報が含まれている場合は、VirusTotalへのアップロードはご遠慮ください)。
- トリガーされた脅威アラートの名前とスレッドを指定してください ID 。 脅威ログ (脅威を監視する ) から、トリガーされた脅威アラートのスクリーンショット/テキスト出力>取得します。虫眼鏡アイコンをクリックすると、下の写真に示すように、より詳細な情報が表示されます。すなわち、脅威 ID 377248044、および脅威名: ウイルス/Win32.WGeneric.aplnvy