Palo Alto Networks防病毒配置文件中误报的分类和解决

Palo Alto Networks防病毒配置文件中误报的分类和解决

161731
Created On 09/26/18 19:13 PM - Last Modified 09/16/25 15:18 PM


Symptom


A benign file is detected as malicious.



Environment


  • 所有 PAN-OS 版本。

Cause


The Antivirus profile on Palo Alto Networks firewalls is designed to block malicious files. However, benign files may occasionally be incorrectly blocked.

笔记


1. 对文件完整性的信心: This triage assumes that the file comes from a trusted source and is highly likely to be benign.

2.威胁日志相关性: This triage applies only to threat log entries with the types 'antivirus' or 'wildfire-virus'. It does not apply to entries of type 'ml-virus', 'spyware', or 'vulnerability'.

3. VirusTotal 指南: VirusTotal results are a useful reference but not definitive in all cases.



场景


场景 0: Dynamic Updates Not Current, Signature Already Disabled
Sometimes, a false positive affects multiple customers, and the problematic signature has already been disabled. Ensure that your Dynamic Updates schedule is properly configured.

场景 1: False Positive Due to Incorrect WildFire Verdict
A benign file analyzed by WildFire was incorrectly classified as malicious, leading to an Antivirus signature being created based on this incorrect verdict.

场景 2: Signature Collision with an Incorrect WildFire Verdict
Other benign files (with different SHA256 hashes) are flagged because their binary structure matches the signature of a file incorrectly classified as malicious (from Scenario 1).

场景 3: Signature Collision with a WildFire True Positive
A benign file is blocked because its binary structure matches that of a file correctly classified as malicious.



如何识别场景

1.检查签名是否被禁用:

  • 威胁日志:如果日志显示威胁名称为“未知”,则该签名可能已被禁用。名称字段通过 API 查询填充,禁用签名可能会导致威胁日志没有名称。
  • 威胁库:禁用的签名通常显示为“威胁 ID:n/a”和“当前版本:n/a”,这意味着该签名不再存在于内容更新中,但可能仍在 WildFire Real-Time 中处于活动状态。
  • API 查询:威胁 ID 的威胁库API 查询可能显示“非活动”状态,这意味着签名在内容更新或 WildFire Real-Time 中不可用,因此这是场景 0。
2.获取威胁ID: From the threat logs, note the Threat ID of the triggered signature.
3. 在威胁库中搜索: Look up the Threat ID in Threat Vault.
4.SHA256哈希值列表: Threat Vault will show a list of SHA256 hashes for files with a WildFire malicious verdict that match the signature pattern.
5. VirusTotal搜索:
  • 如果所有哈希的检测计数都较低(例如,3 或更少,+评估其元数据:流行度、评论和引擎信誉以得出结论),那么这很可能是场景 2。
  • 如果任何哈希具有较高的检测计数(例如,4 或更多+并且提供的元数据足以确定哈希是恶意的),那么这很可能是场景 1 或 3。
  • 如果在 VirusTotal 上未找到哈希值,则可能是情况 2 或 3。
6.检查文件哈希:
  • 计算触发签名的文件的 SHA256 哈希值并在威胁库中检查它。
  • 如果 WildFire 判定为恶意,而您确信该文件是良性的,则这是场景 1。
  • 如果 WildFire 判定为良性,或文件哈希值未在威胁库中列出,则表示已确认签名冲突(场景 2 或 3)。请与 VirusTotal 数据进行交叉比对,以了解更多信息。

Resolution


场景 0:将 Antivirus 和 WildFire 更新至最新内容包。确保动态更新计划已正确配置,并且更新服务器可访问。

    场景 1:在 WildFire 中针对受影响的 SHA256 哈希值提交判定变更请求。详情请参阅WildFire 报告错误判定(病毒误报或漏报)

    场景 2:在 WildFire 中针对威胁库中列出的任何哈希值提交判定变更请求。确保与签名关联的所有哈希值的 VirusTotal 检测计数均较低。有关详细信息,请参阅WildFire 报告错误判定(病毒误报或漏报)

    场景 3:

    • 如果确认文件无害,请针对该威胁 ID 创建防病毒例外。请参阅创建威胁例外文档,了解相关说明。
    • 如果签名冲突可能会影响其他Palo Alto Networks客户,请向支持部门报告,以禁用潜在的签名。


    向Palo Alto Networks支持部门报告误报

    为了更快地解决问题,请在提交支持票之前收集以下信息:

    1. 内容版本:提供防病毒和野火签名包的当前内容版本。使用CLI 命令“show system info”或查看“常规信息”下的“指示板”小部件即可查看。

    2.文件信息:

    • 提供触发签名的示例文件,并使用密码“infected”进行压缩,以避免主机或网络安全设备出现问题。
    • 或者,如果无法提交文件,请提供 SHA256 哈希。
    • 如果文件是知名应用程序,请提供可公开访问的URL来下载它。

    3. 威胁日志:将相关威胁日志以CSV格式导出,并纳入案例。过滤掉不必要的日志,以最小化文件大小。

    4.背景:

    • 这是内部应用程序还是来自受信任的第三方?
    • 该文件是否由可信来源签名?
    • 哪种协议触发了检测(HTTP、 HTTP2 、 SMB、 FTP等)?
    • 是否根据其他信誉来源(例如 VirusTotal)检查过该文件?

    5.重要提示:如果哈希不在 VirusTotal 中,请避免上传它以保护敏感信息。

    6. 威胁信息:提供威胁日志中触发警报的屏幕截图或文本输出。导航至“监控”>“威胁”,点击相关日志条目旁边的放大镜图标,即可获取必要的详细信息,如下方屏幕捕获所示:

    image.png


    Additional Information


    Related articles:
    什么是签名碰撞?
    了解防病毒和野火事件中的文件哈希日志记录
    WildFire 报告错误判决(病毒假阳性或假阴性)
    如何使用反间谍软件、漏洞和防病毒例外来阻止或允许威胁
    如何验证状态并排除 WildFire 实时签名更新功能故障
    Other users also viewed:
    Actions
    • Print
    • Copy Link

      https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm3aCAC&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

    Choose Language