如何提交反病毒误报

如何提交反病毒误报

117867
Created On 09/26/18 19:13 PM - Last Modified 10/13/23 11:26 AM


Symptom


在 Firewall "反病毒"配置文件上阻止恶意文件。 如果您怀疑被阻止的文件是良性的,您可以在 PaloAlto 的支持下打开一个案例,以更改文件的判决并禁用签名。

Environment


  • 所有 PAN-OS 版本。

Cause


A 良性文件模式与恶意软件文件的模式匹配。

Resolution


A 如果主动收集并上传到案例中,则提交虚假阳性将导致更快的解决。 
 
步骤

  1. 防病毒和 WildFire 签名包的当前版本:" CLI 显示系统信息"或 PA firewall "仪表板小部件->一般信息"的输出表示当前版本信息。
  2. 使用时的协议是什么? 尽管此信息可以通过威胁日志进行标识,但添加这些信息会很有用。
  3. 文件信息:以下任何数据都可以提供文件信息;请使用任何可行的方法。 请注意,以下情况之一就足够了。
    1. 触发每个签名的实际样本文件 AV ,压缩(zip)与密码"感染"。 您可以使用任何简单的 zip 或压缩实用程序。 保护文件的密码 ZIP 将确保在上传时,任何主机或基于网络的安全设备不会剥离附件。 与文件一起,请添加sha256哈希,以确保文件的完整性。
    2. 对于下载软件的公共应用程序,公开访问 URL 是有用的。 请注意,"公共应用程序"是指何时可以下载文件而无需创建帐户。
    3. 如果文件具有敏感信息,而您不想共享它,请提供该文件的 sha256 哈希。 请注意,如果没有提供实际样本,我们可能无法确认误报。
  4. 威胁日志:请以格式导出这些事件的威胁日志 CSV 并将其上传到案例中。 重要的是要筛选掉并只收集相关的日志,不必要的日志可以使文件大,很难上传。
    1. 如何从 https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Clj3CAC 导出日志 firewall  
  5. 关于你为什么怀疑这些 AV 警报是误报的上下文?
    1. 这是您的应用程序,由您的内部团队开发吗?
    2. 此文件或应用程序是否来自受信任的第三方?
    3. 此文件是否由受信任方签名?
    4. 此文件是否在内部进行分析? 您是否检查过任何其他声誉来源, 如 VirusTotal 判决? (如果文件包含敏感信息,请不要将其上传到 VirusTotal)。
  6. 请提供 ID 触发的威胁警报的名称和线程。 从威胁日志(监视器>威胁)中拍摄触发的威胁警报的屏幕截图/文本输出。单击放大镜图标将为您提供更多详细信息,如下图所示。即威胁 ID 377248044和威胁名称:病毒/Win32.WGeneric.aplnvy
病毒威胁日志的详细视图
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm3aCAC&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language