Palo Alto Networks 바이러스 백신 프로필의 오탐지 분류 및 해결

161783

Created On 09/26/18 19:13 PM - Last Modified 09/16/25 15:18 PM

Symptom

A benign file is detected as malicious.

Environment

모든 PAN-OS 버전.

Cause

The Antivirus profile on Palo Alto Networks firewalls is designed to block malicious files. However, benign files may occasionally be incorrectly blocked.

노트

1. 파일 무결성에 대한 신뢰: This triage assumes that the file comes from a trusted source and is highly likely to be benign.

2. 위협 로그 관련성: This triage applies only to threat log entries with the types 'antivirus' or 'wildfire-virus'. It does not apply to entries of type 'ml-virus', 'spyware', or 'vulnerability'.

3. VirusTotal 지침: VirusTotal results are a useful reference but not definitive in all cases.

시나리오

시나리오 0: Dynamic Updates Not Current, Signature Already Disabled
Sometimes, a false positive affects multiple customers, and the problematic signature has already been disabled. Ensure that your Dynamic Updates schedule is properly configured.

시나리오 1: False Positive Due to Incorrect WildFire Verdict
A benign file analyzed by WildFire was incorrectly classified as malicious, leading to an Antivirus signature being created based on this incorrect verdict.

시나리오 2: Signature Collision with an Incorrect WildFire Verdict
Other benign files (with different SHA256 hashes) are flagged because their binary structure matches the signature of a file incorrectly classified as malicious (from Scenario 1).

시나리오 3: Signature Collision with a WildFire True Positive
A benign file is blocked because its binary structure matches that of a file correctly classified as malicious.

시나리오를 식별하는 방법

1. 서명이 비활성화되었는지 확인하세요.

위협 로그: 로그에 위협 이름이 '알 수 없음'으로 표시되는 경우, 해당 시그니처 이미 비활성화되었을 수 있습니다. 이름 필드는 API 쿼리를 통해 입력되며, 시그니처 비활성화되면 위협 로그에 이름이 없는 결과가 발생할 수 있습니다.
Threat Vault: 비활성화된 서명은 일반적으로 "위협 ID: n/a" 및 "현재 릴리스: n/a"로 표시됩니다. 즉, 해당 시그니처 더 이상 콘텐츠 업데이트에 존재하지 않지만 WildFire Real-Time에서는 여전히 활성 상태일 수 있습니다.
API 쿼리: 위협 ID에 대한 Threat Vault API 쿼리는 "비활성" 상태 표시할 수 있습니다. 이는 콘텐츠 업데이트나 WildFire Real-Time에서 해당 시그니처 사용할 수 없으므로 이는 시나리오 0입니다.

2. 위협 ID 얻기: From the threat logs, note the Threat ID of the triggered signature.
3. Threat Vault 에서 검색: Look up the Threat ID in Threat Vault.
4. SHA256 해시 목록: Threat Vault will show a list of SHA256 hashes for files with a WildFire malicious verdict that match the signature pattern.
5. VirusTotal 검색:

모든 해시의 탐지 횟수가 낮은 경우(예: 3개 이하, 메타데이터(유행성, 코멘트, 엔진 평판)를 평가하여 결론을 도출하는 경우), 이는 시나리오 2일 가능성이 높습니다.
해시의 탐지 횟수가 높은 경우(예: 4개 이상) 제공된 메타데이터가 해시가 악성이라고 판단하는 데 결정적인 경우, 이는 시나리오 1 또는 3일 가능성이 높습니다.
VirusTotal에서 해시를 찾을 수 없는 경우 시나리오 2 또는 3일 수 있습니다.

6. 파일 해시 확인:

시그니처 트리거하는 파일의 SHA256 해시를 계산하고 Threat Vault 에서 확인합니다.
WildFire가 악성이라고 판단하고 해당 파일이 무해하다고 확신하는 경우 이는 시나리오 1입니다.
WildFire 판정이 양성이거나 파일 해시가 Threat Vault 에 나열되지 않은 경우, 이는 시그니처 충돌(시나리오 2 또는 3)이 확인된 것입니다. 더 자세한 정보는 VirusTotal 데이터와 상호 참조하세요.

Resolution

시나리오 0: Antivirus와 WildFire를 최신 콘텐츠 패키지로 업데이트합니다. 동적 업데이트 일정이 제대로 구성되어 있고 업데이트하다 서버에 접속 가능한지 확인합니다.

시나리오 1: 영향을 받은 SHA256 해시에 대해 WildFire에서 판결 변경 요청을 제출합니다. 자세한 내용은 WildFire의 잘못된 판결(바이러스 오탐지 또는 오탐지) 보고를 참조하십시오.

시나리오 2: Threat Vault 에 나열된 해시에 대해 WildFire에서 판정 변경 요청을 제출합니다. 해당 시그니처 에 연결된 모든 해시의 VirusTotal 탐지 횟수가 낮은지 확인합니다. 자세한 내용은 WildFire의 잘못된 판정(바이러스 오탐지 또는 오탐지) 보고를 참조하십시오.

시나리오 3:

파일이 양성으로 확인되면 해당 위협 ID에 대한 바이러스 백신 예외를 생성하세요. 자세한 내용은 위협 예외 생성 설명서를 참조하세요.
시그니처 충돌로 인해 다른 Palo Alto Networks 고객에게 영향을 미칠 가능성이 있는 경우, 시그니처 비활성화를 위해 지원팀에 보고하세요.

Palo Alto Networks 지원팀에 거짓 양성 보고

더 빠른 해결을 위해 지원 티켓을 제출하기 전에 다음 정보를 수집하세요.

1. 콘텐츠 버전: Antivirus 및 WildFire 시그니처 패키지의 현재 콘텐츠 버전을 제공합니다. CLI 커맨드 'show system info'를 사용하거나 대시보드 위젯의 '일반 정보' 아래에서 확인하세요.

2. 파일 정보:

호스트나 네트워크 보안 장치의 문제를 방지하기 위해 비밀번호가 "감염됨"으로 압축된 시그니처 트리거하는 샘플 파일을 제공합니다.
또는 파일을 제출할 수 없는 경우 SHA256 해시를 제공하세요.
해당 파일이 잘 알려진 애플리케이션 인 경우, 공개적으로 접근 가능한 URL 제공하여 다운로드하세요.

3. 위협 로그: 관련 위협 로그를 CSV 형식으로 내보내 사건에 포함하세요. 불필요한 로그를 필터링하여 파일 크기를 최소화하세요.

4. 맥락:

이것은 내부 애플리케이션 인가요, 아니면 신뢰할 수 있는 제3자의 애플리케이션인가요?
해당 파일은 신뢰할 수 있는 출처에서 서명되었나요?
어떤 프로토콜이 탐지를 유발했나요?(HTTP, HTTP2, SMB, FTP 등)
해당 파일을 다른 평판 소스(예: VirusTotal)와 비교해 확인했나요?

5. 중요: 해시가 VirusTotal에 없으면 민감한 정보를 보호하기 위해 업로드하지 마세요.

6. 위협 정보: 위협 로그에서 발생한 알림 의 스크린샷이나 텍스트 출력을 제공해 주십시오. "모니터링" > "위협"으로 이동하여 해당 로그 항목 옆의 돋보기 아이콘을 클릭하면 아래 화면 캡처 와 같이 필요한 세부 정보를 확인할 수 있습니다.