Palo Alto Networks のウイルス対策プロファイルにおける誤検知のトリアージと解決

Palo Alto Networks のウイルス対策プロファイルにおける誤検知のトリアージと解決

160714
Created On 09/26/18 19:13 PM - Last Modified 09/16/25 15:18 PM


Symptom


A benign file is detected as malicious.



Environment


  • すべての PAN-OS バージョン。

Cause


The Antivirus profile on Palo Alto Networks firewalls is designed to block malicious files. However, benign files may occasionally be incorrectly blocked.

注記


1. ファイルの整合性に対する信頼: This triage assumes that the file comes from a trusted source and is highly likely to be benign.

2. 脅威ログの関連性: This triage applies only to threat log entries with the types 'antivirus' or 'wildfire-virus'. It does not apply to entries of type 'ml-virus', 'spyware', or 'vulnerability'.

3. VirusTotalガイダンス: VirusTotal results are a useful reference but not definitive in all cases.



シナリオ


シナリオ0: Dynamic Updates Not Current, Signature Already Disabled
Sometimes, a false positive affects multiple customers, and the problematic signature has already been disabled. Ensure that your Dynamic Updates schedule is properly configured.

シナリオ1: False Positive Due to Incorrect WildFire Verdict
A benign file analyzed by WildFire was incorrectly classified as malicious, leading to an Antivirus signature being created based on this incorrect verdict.

シナリオ2: Signature Collision with an Incorrect WildFire Verdict
Other benign files (with different SHA256 hashes) are flagged because their binary structure matches the signature of a file incorrectly classified as malicious (from Scenario 1).

シナリオ3: Signature Collision with a WildFire True Positive
A benign file is blocked because its binary structure matches that of a file correctly classified as malicious.



シナリオを特定する方法

1. 署名が無効になっているかどうかを確認します。

  • 脅威ログ:ログに脅威名が「不明」と表示される場合、シグネチャが既に無効化されている可能性があります。名前フィールドはAPIクエリによって入力されるため、シグネチャが無効化されていると、脅威ログに名前が表示されないことがあります。
  • Threat Vault: 無効なシグネチャは通常、「脅威 ID: n/a」および「現在のリリース: n/a」と表示されます。これは、シグネチャがコンテンツ更新には存在しないが、WildFire Real-Time では引き続きアクティブである可能性があることを意味します。
  • API クエリ: 脅威 ID のThreat Vault API クエリで「非アクティブ」のステータスが表示される場合があります。これは、シグネチャがコンテンツ更新または WildFire Real-Time で利用できないことを意味し、したがって、これはシナリオ 0 です。
2. 脅威IDを取得します。 From the threat logs, note the Threat ID of the triggered signature.
3. Threat Vaultで検索: Look up the Threat ID in Threat Vault.
4. SHA256ハッシュのリスト: Threat Vault will show a list of SHA256 hashes for files with a WildFire malicious verdict that match the signature pattern.
5. VirusTotal検索:
  • すべてのハッシュの検出数が少ない場合(例:3 以下、+ メタデータ(普及度、コメント、エンジンの信頼性)を評価して結論に達する)、シナリオ 2 である可能性が高くなります。
  • ハッシュの検出数が多い場合(たとえば、4 以上で、提供されたメタデータによってハッシュが悪意のあるものであると決定的に判断される場合)、シナリオ 1 または 3 である可能性が高くなります。
  • VirusTotal でハッシュが見つからない場合は、シナリオ 2 または 3 である可能性があります。
6. ファイルハッシュを確認します。
  • シグネチャをトリガーするファイルの SHA256 ハッシュを計算し、 Threat Vaultで確認します。
  • WildFire の判定が悪意のあるものであり、ファイルが無害であると確信できる場合、これはシナリオ 1 です。
  • WildFireの判定が「無害」の場合、またはファイルのハッシュがThreat Vaultにリストされていない場合は、シグネチャの衝突が確認されたことになります(シナリオ2または3)。VirusTotalのデータと相互参照することで、より詳細な情報を得ることができます。

Resolution


シナリオ0:ウイルス対策とWildFireを最新のコンテンツパッケージに更新します。動的更新スケジュールが正しく設定され、更新するサーバーにアクセスできることを確認してください。

    シナリオ1:影響を受けるSHA256ハッシュについて、WildFireで判定変更リクエストを送信します。詳細については、「WildFireの誤った判定(ウイルスの誤検知または誤検知)」を参照してください。

    シナリオ2: Threat Vaultにリストされているハッシュのいずれかについて、WildFireで判定変更リクエストを送信します。シグネチャに関連付けられたすべてのハッシュのVirusTotal検出数が低いことを確認してください。詳細については、WildFireの「誤った判定(ウイルスの誤検知または偽陰性)」レポートを参照してください。

    シナリオ3:

    • ファイルが無害であることが確認された場合は、脅威IDに対してウイルス対策例外を作成してください。手順については、 「脅威例外の作成」ドキュメントを参照してください。
    • シグネチャの衝突が他のPalo Alto Networks の顧客に影響を与える可能性がある場合は、シグネチャの無効化の可能性についてサポートに報告してください。


    Palo Alto Networksサポートへの誤検知の報告

    より迅速に解決するには、サポート チケットを送信する前に次の情報を収集してください。

    1. コンテンツバージョン:ウイルス対策およびWildFireシグネチャパッケージの現在のコンテンツバージョンを表示します。CLICLIコマンド「show system info」を使用するか、ダッシュボードウィジェットの「一般情報」で確認してください。

    2. ファイル情報:

    • ホストまたはネットワーク セキュリティ デバイスの問題を回避するために、シグネチャをトリガーするサンプル ファイルをパスワード「infected」で圧縮して提供します。
    • あるいは、ファイルを送信できない場合は、SHA256 ハッシュを提供してください。
    • ファイルが既知のアプリケーションである場合は、それをダウンロードするための公開アクセス可能なURLを提供します。

    3. 脅威ログ:関連する脅威ログをCSV形式でエクスポートし、ケースに添付します。不要なログを除外してファイルサイズを最小限に抑えます。

    4. コンテキスト:

    • これは社内アプリケーションですか、それとも信頼できるサードパーティからのアプリケーションですか?
    • ファイルは信頼できるソースによって署名されていますか?
    • 検出をトリガーしたプロトコルは何ですか (HTTP、HTTP2、 SMB、 FTPなど)?
    • ファイルは他のレピュテーション ソース (VirusTotal など) に対してチェックされましたか?

    5. 重要:ハッシュが VirusTotal にない場合は、機密情報を保護するためにアップロードしないでください。

    6. 脅威情報:脅威ログから、トリガーされたアラートのスクリーンショットまたはテキスト出力をご提供ください。「監視」>「脅威」に移動し、該当するログエントリの横にある虫眼鏡アイコンをクリックすると、以下のスクリーンキャプチャに示すように、必要な詳細情報が表示されます。

    image.png


    Additional Information


    Related articles:
    シグネチャ衝突とは何ですか?
    ウイルス対策とWildFireイベントにおけるファイルハッシュログの理解
    WildFire レポートの誤った判定 (ウイルスの誤検知または誤検知)
    スパイウェア対策、脆弱性対策、ウイルス対策の例外設定を使用して脅威をブロックまたは許可方法
    WildFireリアルタイム署名更新機能のステータスを確認し、トラブルシューティングする方法
    Other users also viewed:
    Actions
    • Print
    • Copy Link

      https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm3aCAC&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

    Choose Language